Le premier problème, suivi comme CVE-2024-5157 , eest une faille de type « use-after-free » dans le module de planification, signalée par Looben Yang il y a un mois. Le chercheur a reçu une récompense de 11 000 $ pour cette découverte.
Google lutte contre les problèmes de « use-after-free » dans Chrome depuis plusieurs années, car ce type de bug peut permettre une évasion du « sandbox » si un attaquant parvient à cibler une vulnérabilité dans le système d’exploitation sous-jacent ou dans un processus privilégié de Chrome.
Mardi, Google a également corrigé le CVE-2024-5158, un bug de type confusion dans le moteur JavaScript V8, annonçant qu’il a versé une prime de bug de 10 000 $ à Zhenghang Xiao, qui a signalé le défaut de sécurité début mai.
La mise à jour du navigateur résout également deux problèmes de dépassement de tampon de tas, l’un affectant le moteur de couche graphique ANGLE (CVE-2024-5159) et un autre trouvé dans Dawn, l’implémentation par Chrome de la norme WebGPU (CVE-2024-5160).
Le géant de l’Internet affirme avoir versé une récompense de 5 000 $ pour la faille ANGLE, mais n’a pas encore divulgué le montant accordé pour le problème Dawn.
La dernière version de Chrome est désormais déployée en version 125.0.6422.76 pour Linux et en versions 125.0.6422.76/.77 pour Windows et macOS.
Google ne mentionne aucune de ces vulnérabilités exploitées dans la nature, mais il est conseillé aux utilisateurs de mettre à jour leur navigateur dès que possible.
Promu au niveau stable le 15 mai, Chrome 125 a été publié avec des correctifs pour le septième zero-day documenté dans le navigateur cette année et le troisième zero-day de Chrome à être résolu en une semaine.
Source : Securityweek
