De nouvelles vulnérabilités pourraient permettre aux attaquants d’exécuter du code et de contrôler les navigateurs à distance. Le BSI recommande donc d'urgence de mettre à jour le navigateur, ce qui est également très simple à réaliser. La valeur CVSS de 8.8 est considérée comme très dangereuse.
L'Office fédéral de la sécurité de l'information (BSI) met en garde les utilisateurs et les entreprises contre des vulnérabilités très dangereuses avec la valeur CVSS 8.8 dans les navigateurs Google Chrome et Microsoft Edge sous les systèmes d'exploitation Windows, MacOS et Linux. Un attaquant distant et anonyme pourrait exploiter plusieurs vulnérabilités de Google Chrome et Microsoft Edge pour exécuter du code arbitraire. Cela lui permet de reprendre le navigateur et de le contrôler à distance. Les CVE suivants expliquent les vulnérabilités et leurs origines : CVE-2024-0222, CVE-2024-0223, CVE-2024-0224, CVE-2024-0225 (Common Vulnerabilities and Exposures ou en allemand « Known Vulnerabilities and Susceptibilities »).
Des mises à jour du navigateur sont disponibles
Google et Microsoft proposent déjà des mises à jour correspondantes pour leurs navigateurs. Les vulnérabilités se trouvent dans les versions plus petites des navigateurs :
- MicrosoftEdge < 120.0.2210.121
- Google Chrome < 120.0.6099.199
- Google Chrome < 120.0.6099.200
Si une entreprise n'utilise pas la gestion des correctifs, une mise à jour peut également être déclenchée manuellement et est automatiquement effectuée par un navigateur en quelques secondes. Toutefois : une mise à jour ne sera effectuée que si le navigateur est au moins redémarré.
Déclencher la mise à jour de Chrome
Si la mise à jour n'est pas déclenchée par une stratégie de groupe, vous devez procéder comme suit : Les utilisateurs n'ont qu'à redémarrer le navigateur pour la mise à jour ou, encore plus simple, sélectionner Paramètres > Aide > À propos de Google Chrome. La page d'informations du navigateur s'ouvre alors. Si la mise à jour n'est pas encore terminée, Chrome l'exécutera simplement automatiquement.
Mise à jour de Trigger Edge
Dans les grandes entreprises, le navigateur Edge reçoit généralement sa mise à jour via la console Microsoft Endpoint Manager via une stratégie. La mise à jour est extrêmement simple pour les PME et les utilisateurs individuels. Normalement, Edge se mettra automatiquement à jour immédiatement au redémarrage du navigateur. Cependant, les utilisateurs peuvent accéder à > Aide et commentaires > À propos de Microsoft Edge » dans le navigateur. et ainsi ouvrir les informations sur le navigateur. La mise à jour apparaîtra alors automatiquement.
Plus sur BSI.bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.