Un problème de sécurité « majeur » dans le navigateur Web Google Chrome, ainsi que ses alternatives basées sur Chromium, peut permettre à des pages Web malveillantes d’écraser automatiquement le contenu du presse-papiers sans nécessiter le consentement ou l’interaction de l’utilisateur simplement en les visitant.

L’attaque par empoisonnement du presse-papiers aurait été accidentellement introduite dans la version 104 de Chrome, selon le développeur Jeff Johnson.

Bien que le problème concerne également Apple Safari et Mozilla Firefox, ce qui aggrave le problème dans Chrome, c’est que l’exigence de geste de l’utilisateur pour copier le contenu dans le presse-papiers est actuellement rompue.

Les gestes de l’utilisateur incluent la sélection d’un morceau de texte et l’appui sur Ctrl+C (ou -C pour macOS) ou la sélection de « Copier » dans le menu contextuel.

« Par conséquent, un simple geste tel que cliquer sur un lien ou appuyer sur une touche fléchée pour faire défiler la page vers le bas donne aux sites Web la permission d’écraser le presse-papiers de votre système », a déclaré Johnson. c’est noté.

La possibilité de remplacer les données du presse-papiers pose des problèmes de sécurité. Dans un scénario d’attaque hypothétique, l’adversaire pourrait inciter la victime à visiter une page de destination malveillante et réécrire l’adresse du portefeuille de crypto-monnaie précédemment copiée par la cible avec une sous son contrôle, entraînant un transfert de fonds non autorisé.

Alternativement, l’attaquant pourrait écraser le presse-papiers avec un lien vers un site Web spécialement conçu, obligeant la victime à télécharger un logiciel malveillant.

« Lorsque vous naviguez sur une page Web, cette page à votre insu peut supprimer le contenu actuel de votre presse-papiers système, qui peut vous être utile, et le remplacer par tout ce que la page veut, ce qui pourrait vous nuire la prochaine fois que vous collerez ,  » a expliqué Johnson.

Google est déjà au courant les problèmes et les correctifs devraient être publiés prochainement, compte tenu de la gravité de la faille et des abus possibles par de mauvais acteurs.

En attendant, il est conseillé aux utilisateurs de s’abstenir d’ouvrir des pages Web entre les actions couper/copier et coller et de vérifier leur presse-papiers avant d’effectuer des opérations sensibles sur le Web, telles que des transactions financières.

Le développement vient comme Google publié nouvelle version de Chrome (105.0.5195.52/53/54) pour Windows, macOS et Linux avec des correctifs pour 24 failles, dont 10 concernent des bogues d’utilisation après la publication dans les services réseau, WebSQL, WebSQL, PhoneHub, entre autres.