Google a publié cette semaine un correctif pour la dernière version de Chrome, v80, visant à écraser trois vulnérabilités, dont une vulnérabilité mystérieuse 0-day qui n'était pas détaillée.
Derniers correctifs de mise à jour Chrome CVE-2020-6418, 0day trouvés dans la nature par @ _clem1: https://t.co/H2j5PXO8gVpic.twitter.com/K2GoOJCPgf
- Antti Tikkanen (@anttitikkanen) 24 février 2020
Google n'a plus partagé d'informations sur l'attaque, et elle tiendra probablement jusqu'à ce que le correctif soit largement déployé. Chrome OS v 80, qui fournirait vraisemblablement le correctif aux Chromebooks, n'est pas encore disponible au moment de la rédaction, par exemple.
Alors, quel est exactement ce bug mystérieux? L'indice réside dans le nom. Google appelle cela une erreur de «confusion de type» dans V8 (le moteur javascript de Chrome).
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Ok, bien, ce sont des mots. Pourquoi est-ce mauvais? Eh bien, comme expliqué par les chercheurs en sécurité à Sophos:
Un bug de confusion de type est l'endroit où vous pouvez tromper un programme pour qu'il enregistre des données dans un seul but (type de données A), puis les utiliser plus tard dans un autre but (type de données B).
Imaginez qu'un programme fasse très attention aux valeurs qu'il vous permet de stocker en mémoire lorsque vous le traitez comme du type B.
Par exemple, si un emplacement mémoire de 'type B' garde la trace d'une adresse mémoire (un pointeur, pour utiliser le jargon), alors le programme fera probablement de grands efforts pour vous empêcher de le modifier comme vous comme.
Sinon, vous pourriez vous retrouver avec le pouvoir de lire des données secrètes à partir d'emplacements de mémoire auxquels vous n'êtes pas censé accéder, ou d'exécuter du code de programme inconnu et non approuvé tel que des logiciels malveillants.
D'un autre côté, un emplacement de mémoire utilisé pour stocker quelque chose comme une couleur que vous venez de choisir dans un menu pourrait accepter tout valeur que vous aimez, comme 0x00000000 (ce qui signifie complètement transparent) jusqu'à 0xFFFFFFFF (ce qui signifie blanc brillant et totalement opaque).
Donc, si vous pouvez obtenir que le programme vous laisse écrire en mémoire sous l'hypothèse à faible risque qu'il stocke une couleur, mais plus tard d'utiliser cette «couleur» comme ce qu'il pense être une adresse mémoire de confiance afin de transférer l'exécution du programme dans votre malware code…
… Vous venez d'utiliser la confusion de type pour contourner les contrôles de sécurité qui auraient dû être appliqués au pointeur de mémoire.
TL: DR: Si cette vulnérabilité est activement exploitée, les logiciels malveillants peuvent se déguiser en trois enfants dans un trench-coat et tromper les contrôles de sécurité destinés à empêcher ces logiciels malveillants d'entrer. Google a déjà corrigé la vulnérabilité de Chrome pour la plupart des gens, alors n'hésitez pas à mettre à jour votre navigateur pour une protection maximale.
Chrome: tout ce que vous devez savoir!
Avez-vous écouté le podcast Android Central de cette semaine?
Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, des analyses et des prises de vue, avec des co-hôtes familiers et des invités spéciaux.
- Abonnez-vous à Pocket Casts: l'audio
- Abonnez-vous à Spotify: l'audio
- Abonnez-vous à iTunes: l'audio
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Pimentez votre smartphone ou votre tablette avec les meilleurs packs d'icônes pour Android.
Pouvoir personnaliser votre appareil est fantastique car cela aide à rendre votre appareil encore plus «vôtre». Avec la puissance d'Android, vous pouvez utiliser des lanceurs tiers pour ajouter des thèmes d'icônes personnalisés et ce ne sont là que quelques-uns de nos favoris.