Partagée sur Twitter, cette faille Zero-Day touche Chrome et Edge
Aïe ! Un chercheur en sécurité a publié sur Twitter des informations sur une faille Zero-Day qui touche les versions actuelles de Google Chrome et Microsoft Edge.
Rajvardhan Agarwal, un chercheur en sécurité, a publié un PoC (Proof-of-Concept) sur une nouvelle vulnérabilité de type "exécution de code à distance". Elle touche le moteur JavaScript V8 de tous les navigateurs basés sur Chromium. Par conséquent, Google Chrome est touché, mais aussi Microsoft Edge, ainsi que d'autres navigateurs comme Brave et Vivaldi.
Dans ce PoC, le chercheur en sécurité montre qu'il arrive à ouvrir la calculatrice sur le poste client grâce à un fichier HTML ouvert dans Chrome et à un fichier JavaScript qui est là pour exploiter la faille. Il a ouvert la calculatrice sur le poste client, mais ça aurait pu être autre chose... Si vous voyez où je veux en venir.
Bon, il y a une petite subtilité : cette faille Zero-Day ne permet pas de contourner le mécanisme de sandbox interne à Chromium. Ainsi, elle ne permet pas d'exécuter un programme sur la machine hôte. Pour ouvrir la calculatrice comme dans cet exemple, il faut coupler l'utilisation de cette faille Zero-Day à une autre faille pour contourner la sandbox. Sinon, comme l'explique le site BleepingComputer, il faut exécuter Edge ou Chrome avec la sandbox désactivée en spécifiant le commutateur "--no-sandbox" au lancement.
Just here to drop a chrome 0day. Yes you read that right.https://t.co/sKDKmRYWBP pic.twitter.com/PpVJrVitLR
— Rajvardhan Agarwal (@r4j0x00) April 12, 2021
Pas encore corrigée au sein des navigateurs, cette vulnérabilité Zero-Day est désormais connue publiquement. En fait, le chercheur en sécurité affirme que cette faille est corrigée dans la dernière version du moteur JavaScript, mais ce n'est pas la version utilisée par Chromium actuellement.
Il y a quelques jours, à l'occasion de la compétition de hacking Pwn2Own, Bruno Keith et Niklas Baumstark de Dataflow Security ont trouvé une faille dans Chrome. Il se pourrait que ce soit la même que celle-ci à en croire les premiers retours sur Twitter.
Dans tous les cas, Google est sur le point de publier Chrome 90 dans le canal stable, ce sera l'occasion de voir si cette faille Zero-Day est patchée. Pour le moment, les versions stables actuelles sont vulnérables : Google Chrome 89.0.4389.114 et Microsoft Edge 89.0.774.76.
