Mardi, Google a publié une nouvelle mise à jour pour Chrome, la mettant à niveau vers la version 130.0.6723.91/.92 pour Windows et Mac, et 130.0.6723.91 pour Linux. Lorsque vous installez la mise à jour et actualisez votre navigateur, vous ne serez pas accueilli avec une nouvelle interface utilisateur ni une poignée de nouvelles fonctionnalités ou modifications. Au lieu de cela, vous exécuterez un navigateur qui corrige deux vulnérabilités de sécurité trouvées dans les anciennes versions.
L’une de ces vulnérabilités de sécurité est qualifiée de gravité « élevée ». Suivi comme CVE-2024-10488, il s’agit d’une vulnérabilité d’utilisation après utilisation gratuite dans WebRTC, un protocole de communication en temps réel pour les navigateurs Web. Lorsqu’il est utilisé après des failles libres, un programme ne parvient pas à effacer le pointeur vers un emplacement mémoire après avoir libéré cet emplacement mémoire, ce qui permet à des acteurs malveillants d’exploiter la faille et d’attaquer le programme.
L’autre défaut m’intéresse cependant un peu plus. CVE-2024-10487 est étiqueté comme étant de gravité « Critique » et constitue une écriture hors limites dans Dawn, l’implémentation open source de WebGPU dans Chrome. Une faille d’écriture hors limites se produit lorsqu’un programme écrit en dehors de la mémoire qui lui est allouée. Un attaquant peut profiter de cette situation pour planter le programme et exécuter son propre code.
Mais ce qui rend CVE-2024-10487 intéressant, ce n’est pas qu’il s’agisse d’une faille d’écriture hors limites, ni qu’elle soit critique : c’est qu’Apple l’a découverte. Google attribue à SEAR, l’équipe d’ingénierie et d’architecture de sécurité d’Apple, l’identification de la vulnérabilité le 23 octobre.
S’il est amusant de constater qu’Apple, un concurrent évident de Google, a découvert une faille dans le navigateur mondialement connu de l’entreprise, ce n’est pas la première fois que ce type de situation se produit. En fait, la semaine dernière, j’ai écrit sur la façon dont Microsoft avait découvert une faille de sécurité majeure dans Safari. Apple a intégré ce correctif de sécurité dans la version plus large de macOS Sequoia, contrairement à Google, qui a publié cette petite mise à jour de Chrome spécifiquement pour fournir ces deux correctifs de sécurité aux utilisateurs.
La vérité est que même si Microsoft, Google et Apple sont tous des concurrents, les grandes entreprises technologiques partagent de nombreux intérêts communs, notamment en matière de confidentialité et de sécurité. Même si Apple aimerait que tout le monde utilise Safari, beaucoup Les utilisateurs de Mac naviguent sur le Web avec Chrome à la place, et avoir ces nombreux utilisateurs exécutant un navigateur compromis sur leur Mac serait une mauvaise chose.
Alors que les gros titres technologiques soulignent fréquemment les domaines où les entreprises rivalisent et se battent – iPhone et Android, ChatGPT (et Copilot) et Gemini, macOS et Windows, etc. – il est rafraîchissant de voir qu’il arrive encore parfois que ces entreprises travaillent ensemble au nom de l’amélioration. la technologie pour tout le monde.
