L’utilisation après un trou de mémoire libre permet à un attaquant distant d’exécuter du code dans un bac à sable.
Les acteurs malveillants ont désormais la possibilité d’exploiter une nouvelle vulnérabilité zero-day dans le navigateur Chrome, a informé Google aux administrateurs informatiques.
L’avertissement intervient après que Google a publié un correctif pour Chrome visant à corriger une vulnérabilité d’utilisation de mémoire libre (CVE-2026-2441) dans les feuilles de style en cascade (CSS), ce qui signifie que le moteur CSS du navigateur ne gère pas correctement la mémoire et peut être exploité par un pirate informatique.
S’il n’est pas corrigé, il permet à un attaquant distant d’exécuter du code arbitraire dans un bac à sable via une page HTML spécialement conçue. La vulnérabilité est classée comme étant de gravité élevée.
Les navigateurs Windows et Mac Chrome antérieurs à 145.0.7632.75/76 et antérieurs à 144.0.7559.75 pour Linux sont à risque.
« Google est conscient qu’un exploit pour CVE-2026-2441 existe dans la nature », ajoute l’avertissement.
Les détails sur le trou sont rares. Google indique que l’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Il maintiendra également les restrictions si le bogue existe dans une bibliothèque tierce dont dépendent également d’autres projets, mais qui n’ont pas encore été corrigés.
Gene Moody, CTO sur le terrain chez Action1, a expliqué que, dans cette vulnérabilité, un navigateur libère un objet, mais continue ensuite d’utiliser l’emplacement mémoire de référence obsolète. Tout attaquant capable de façonner la disposition du tas avec un contenu contrôlé peut potentiellement remplacer le contenu de cette mémoire libérée par des données qu’il contrôle. Parce que cela réside dans le moteur de rendu et est accessible via le contenu normal de la page, a-t-il déclaré, la surface de déclenchement est presque absolue.
« En termes pratiques », a-t-il ajouté, « la simple visite d’un utilisateur vulnérable sur une page malveillante pourrait suffire à déclencher efficacement le bug. »
La recherche et l’exploitation des vulnérabilités des navigateurs sont un outil populaire auprès des acteurs malveillants. En effet, les navigateurs constituent souvent un point d’entrée pour les entreprises, en particulier à l’ère des applications cloud. Les navigateurs n’accèdent pas seulement aux données de l’entreprise, ils contiennent également des informations sensibles telles que les identifiants de connexion et les données personnelles stockées dans les formulaires de remplissage automatique.
Johannes Ullrich, doyen de la recherche à l’Institut SANS, a déclaré qu’il ne s’agissait que du dernier Chrome 0-day découvert et que, d’après l’histoire, il y en avait probablement beaucoup d’autres déjà utilisés qui n’ont pas encore été découverts ou corrigés.
« La mise en place d’un solide programme de surveillance des points finaux peut atténuer une partie de ce risque », a-t-il déclaré. Pour les administrateurs d’entreprise, Google propose Chrome Enterprise Core, qui ajoute l’instrumentation nécessaire pour surveiller les versions du navigateur et publier des mises à niveau. Chrome Enterprise Core ajoute également une gestion centrale des extensions. Les extensions malveillantes représentent souvent un problème plus important que 0-day.
Les navigateurs sont des programmes très complexes qui prennent en charge un grand nombre de technologies, a-t-il ajouté, et incluent certaines normes héritées avec une prise en charge actuelle limitée.
« La base de code du navigateur open source Chromium comprend environ 36 millions de lignes de code », a-t-il souligné. « Un grand projet comme celui-ci comporte forcément des vulnérabilités. Google a utilisé un certain nombre d’outils automatisés pour réduire continuellement le nombre de vulnérabilités, mais les adversaires font de même et trouvent parfois des bogues que Google n’a pas encore trouvés ou qu’il n’a pas encore réussi à corriger de manière proactive. »
Les jours zéro du navigateur ne sont jamais bons, car il est trivial pour les criminels d’utiliser des publicités empoisonnées pour tenter de diriger les victimes avec des navigateurs vulnérables vers des sites Web contenant du code malveillant, a déclaré David Shipley, responsable du fournisseur canadien de formation en sensibilisation à la sécurité Beauceron Security.
« Dans ce cas, il semble qu’il ne s’agisse que d’une correction partielle de la vulnérabilité en cours, et Google reste un peu discret sur la gravité de ce bug et sur tout ce à quoi il pourrait être utilisé au-delà du crash du navigateur et de la corruption des données. Mais étant donné qu’il existe des exploits dans la nature et que Google dit attendre que la majorité des utilisateurs soient corrigés avant d’entrer dans plus de détails, il y a clairement quelque chose de plus intéressant derrière celui-ci. »
Obtenir des correctifs pour les navigateurs d’entreprise n’est toujours pas aussi simple qu’il devrait l’être, a-t-il ajouté, et implique généralement des outils coûteux ou des flux de travail complexes que la plupart des petites organisations ne disposent pas.
Google fournit cependant des conseils détaillés aux administrateurs sur la gestion des mises à jour de Chrome.
