Publicité
Un quatrième piratage zero-day a frappé Chrome, et Google exhorte les utilisateurs à mettre à niveau leurs navigateurs. Voici tout ce que vous devez savoir.
Sur le blog officiel de Chrome, Google a déclaré que l’exploit (CVE-2022-2294) affectait les utilisateurs de Windows et d’Android, admettant que « Google est conscient qu’un exploit pour CVE-2022-2294 existe dans la la nature « . La société a également confirmé deux autres menaces de sécurité de haut niveau.
Alors que Google a restreint les informations sur les vulnérabilités jusqu’à ce que les utilisateurs aient eu la possibilité de mettre à niveau, la société a fourni les détails suivants.
- Haut – CVE-2022-2294 [Zero-Day threat]: Débordement de la mémoire tampon du tas dans WebRTC. Rapporté par Jan Vojtesek de l’équipe Avast Threat Intelligence le 2022-07-01
- Haut – CVE-2022-2295: Confusion de type dans V8. Rapporté par avaue et Buff3tts à SSL le 2022-06-16
- Haut – CVE-2022-2296: Utilisation après gratuit dans Chrome OS Shell. Rapporté par Khalil Zhani le 2022-05-19
WebRTC (Web Real-Time Communications) est un projet open source qui permet des capacités de communication vocale, textuelle et vidéo en temps réel entre les navigateurs Web et les appareils. Il a été développé par Global IP Solutions (ou GIPS), une société suédoise, en 1999 avant que Google n’acquière GIPS en 2011.
Quant aux deux autres, V8 est le composant de Chrome responsable du traitement de JavaScript, le moteur au cœur de Chrome, et cette vulnérabilité affecte également Windows et Android. CVE-2022-2296 n’a d’impact que sur Windows, et Use After Free (un exploit de mémoire) est la voie la plus courante utilisée par les chercheurs pour exploiter le navigateur ces dernières années. Près de 100 vulnérabilités UAF ont été trouvées dans Chrome rien qu’en 2022.
En réponse, Google a publié Chrome 103.0.5060.114 pour Windows et 103.0.5060.71 pour Android. Alors qu’Android peut automatiquement mettre à jour et remettre Chrome lui-même, les utilisateurs de Windows doivent suivre ces étapes :
- Cliquez sur les trois points dans le coin supérieur droit de Chrome.
- Cliquer Paramètres > Aide > À propos de Google Chrome.
- Attendez que Chrome trouve et installe la mise à jour.
- Lorsque vous y êtes invité, remplacez Chrome (cette dernière étape critique).
Les piratage Zero-Day s’étendent dans tous les pays toutes les plateformes principaleset Google a souligné que les navigateurs Web ne font pas exception. Si vous utilisez Chrome, il n’y a jamais eu de moment plus important pour rester diligent.
___
Suivez Gordon sur Facebook (en anglais seulement