Un technicien de sécurité Web, Rajvardhan Agarwal, a publié un lien GitHub sur son compte Twitter vers ce qui semble être une nouvelle faille dans les navigateurs qui reposent sur Chrome: le moteur de boutons des navigateurs tels que Chrome, Microsoft Edge, Vivaldi et autres.
La vulnérabilité est définie comme le type 0 jour(s) précisément parce que cela fait zéro jour depuis qu'il a été reconnu par le développeur. Il a donc "zéro jour" pour corriger la faille avant que quiconque puisse écrire un exploit pour elle. Au moment où le bogue est corrigé, 0-day perd une partie de son importance d'origine car il ne peut plus être utilisé contre les systèmes mis à jour.
Il n'y a pas de quoi s'inquiéter
Agarwal écrit à nouveau que la vulnérabilité a été éliminée dans la dernière mise à jour du moteur JavaScript V8. Cependant, nous ne savons toujours pas quand cette mise à jour atteindra nos appareils. La prochaine version de Google Chrome sera le numéro 90 et, bien sûr, il apportera le changement qui corrige cette vulnérabilité. La date de sortie n'a pas encore été fixée, mais est attendue à court terme.
Juste ici pour déposer un chrome 0day. Oui, vous avez bien lu.https: //t.co/sKDKmRYWBP pic.twitter.com/PpVJrVitLR
- Rajvardhan Agarwal (@ r4j0x00) 12 avril 2021
Cette démonstration montre que la vulnérabilité, si elle est insérée dans le JavaScript du navigateur, peut démarrer la calculatrice. Ceci est un petit exemple pour montrer que dans le navigateur, vous pouvez exécuter à distance n'importe quel exécutable.
Cette vulnérabilité est la même que celle utilisée par les chercheurs Bruno Keith et Niklas Baumstark de Dataflow Security, pour avoir piraté Google Chrome et Microsoft Edge dans la course aux hackers, del Pwn2Own 2021
Rejoignez notre communauté sur Facebook, ou notre chaîne Telegram pour rester au courant de toutes les actualités.