Une vulnérabilité jour-zéro découverte sur Google Chrome

Les chercheurs d’EdgeSpot ont publié le 26 février un article dans lequel une vulnérabilité jour zéro aurait été découverte pour le navigateur Internet Google Chrome. Un attaquant pourrait l’exploiter afin de collecter des informations des victimes ouvrant le PDF malveillant sur le navigateur. Cette attaque nécessite une interaction avec l’utilisateur et impacte la confidentialité des données.

Cette vulnérabilité a été découverte pour la première fois le 26 décembre par EdgeSpot, une société qui offre des services de détection de fichiers malveillants. L’équipe a alerté en conséquence les équipes en charge du développement de Google Chrome. La mise à jour censée apporter les correctifs à cette vulnérabilité est prévue pour fin avril. En raison de leur publication tardive, les chercheurs ont décidé d’alerter les utilisateurs concernant les risques de la vulnérabilité qui est encore aujourd’hui activement exploitée. Ces fichiers malveillants ne seraient en effet que très peu détectés sur la plateforme de détection de logiciels malveillants VirusTotal.

Détails techniques :

CVE-2019-5805  [CVSS v3 6.3] : Cette vulnérabilité pourrait être exploitée par un attaquant à l’aide d’un PDF spécialement conçu. Une fois le fichier malveillant ouvert avec le navigateur Google Chrome par la victime, des données comme l’adresse IP publique de l’utilisateur, le système d’exploitation, la version de Google Chrome ainsi que le chemin où est stocké le PDF sont envoyés à l’attaquant. Les données seraient envoyées à l’aide de requêtes POST.

En attendant un correctif pour cette vulnérabilité, il est recommandé d’utiliser un logiciel alternatif pour lire les PDF.