Selon TechRadar , Google vient de publier une mise à jour de sécurité urgente pour le navigateur Chrome, afin de corriger la première vulnérabilité zero-day sérieuse découverte en 2025. Plus inquiétant encore, cette vulnérabilité, identifiée comme CVE-2'25-2783, a été activement exploitée par des groupes de pirates informatiques dans des attaques réelles, soupçonnées de faire partie d'une campagne de cyberespionnage à grande échelle.
Une grave vulnérabilité de Chrome exploitée de manière sophistiquée
Dans son alerte de sécurité, Google a qualifié la vulnérabilité de très grave. Elle permet à un attaquant de contourner le mécanisme de protection sandbox de Chrome, une étape clé pour installer des logiciels malveillants et prendre le contrôle de l'ordinateur de la victime.
Un correctif pour la vulnérabilité CVE-2'25-2783 a été intégré par Google à la version 134.0.6998.178 de Chrome. Google limite actuellement la publication des détails techniques concernant la vulnérabilité afin de laisser aux utilisateurs le temps de mettre à jour leur système et d'éviter une exploitation plus large par des pirates informatiques.
Google corrige d'urgence une grave vulnérabilité dans le navigateur Chrome
PHOTO : CAPTURE D'ÉCRAN THE HACKER NEWS
La découverte et le signalement de cette vulnérabilité sont dus à deux chercheurs en sécurité, Boris Larin et Igor Kuznetsov, de Kaspersky. Dans un rapport plus détaillé, Kaspersky a révélé que cette vulnérabilité de Chrome était un élément clé d'une campagne d'attaques ciblées appelée « Opération ForumTroll ».
La campagne utilise des courriels d'hameçonnage sophistiqués, se faisant passer pour des invitations des organisateurs du forum scientifique et d'experts « Lectures Primakov ». Ces courriels ciblent des médias, des établissements d'enseignement et des agences gouvernementales russes. Lorsque les victimes cliquent sur le lien malveillant, elles sont redirigées vers un site web dangereux, d'où le logiciel malveillant est déployé.
Kaspersky a déclaré que les auteurs de l'opération ForumTroll ont également exploité une autre vulnérabilité pour exécuter du code à distance, mais que la correction de la vulnérabilité CVE-2'25-2783 de Chrome a suffi à briser toute la chaîne d'infection. Compte tenu de la sophistication du malware, Kaspersky estime que le but ultime de cette campagne pourrait être le cyberespionnage.
La vulnérabilité étant activement exploitée, il est conseillé aux utilisateurs de Google Chrome, en particulier sur les systèmes d'exploitation Windows, de vérifier et de mettre à jour d'urgence leur navigateur vers la version 134.0.6998.178 ou ultérieure.
Source : https://thanhnien.vn/google-va-khan-cap-lo-hong-nguy-hiem-tren-trinh-duyet-chrome-185250326222913819.htm
Comment (0)