Mise à jour du 11 mai: Cet article a été initialement publié le 10 mai
J’ai parlé trop tôt quand j’ai rapporté hier que Google avait confirmé une mise à jour relativement rare juste pour les utilisateurs Android du navigateur Chrome. Les utilisateurs de Windows, Linux et Mac ne peuvent plus respirer facilement et devraient maintenant vérifier que leurs navigateurs Chrome sont mis à jour dès que possible. Pourquoi ce changement? Parce que Google a maintenant confirmé que des milliards d’utilisateurs du navigateur Web le plus populaire de la planète sont affectés par les dernières vulnérabilités de sécurité.
Dans une annonce du 10 mai par Prudhvikumar Bommana de l’équipe Google Chrome, il a été confirmé que les neuf mêmes vulnérabilités qui ont provoqué l’Android Avertissement de mise à jour de sécurité également appliqué au navigateur de bureau sur toutes les plates-formes. En fait, il y a 13 correctifs de sécurité en tout, comme je l’ai signalé à l’origine, mais seulement neuf ont reçu des numéros CVE. On ne sait pas très bien pour le moment pourquoi il y a eu un délai entre la confirmation des deux mises à jour, mais je vais essayer de le savoir et d’en faire rapport. Bien qu’aucune des vulnérabilités divulguées ne soit de la variété zero-day cette fois-ci, ce qui signifie qu’il n’y a aucune preuve que les attaquants les exploitent déjà, ce n’est pas une raison pour se reposer sur ses lauriers. Veuillez donc mettre à jour votre navigateur Chrome dès que vous le pouvez.
Dans le cas du navigateur de bureau, cela signifie que vous vous dirigez vers l’aide| À propos de l’option dans votre menu Google Chrome. Le téléchargement de la mise à jour commencera automatiquement s’il est disponible. Le tous les détails peuvent être trouvés ici mais la chose la plus importante à retenir est de redémarrer le navigateur ou la mise à jour ne sera pas activée. La version mise à jour qui inclut les correctifs de sécurité dans le client de bureau est 101.0.4951.64.
Les utilisateurs d’autres navigateurs Web alimentés par Chromium tels que Brave et Edge doivent également être attentifs au fait que des mises à jour de sécurité suivront probablement dans les prochains jours. Je mettrai à jour cet article dès que je pourrai confirmer que ces mises à jour ont été déployées, avec des instructions sur ce que vous devez faire. Bien sûr, les utilisateurs de Chrome pour Android doivent également s’assurer que l’application est mise à jour, comme ci-dessous.
Mise à jour du 12 mai: Cet article a été initialement publié le 10 mai
Il n’y avait pas de vulnérabilités zero-day activement exploitées affectant le projet open source Chromium qui est au cœur du navigateur Google Chrome. C’est. bien sûr, une bonne nouvelle. Tout comme le fait que la mise à jour de sécurité Chrome est déjà déployée pour les versions de bureau et Android, et vous devriez pouvoir forcer l’installation si votre navigateur n’a pas encore été automatiquement mis à jour. Les instructions pour ce faire sont incluses ci-dessous.
Il y a d’autres bonnes nouvelles, je suis heureux de le signaler: le navigateur Brave et Opera, qui s’appuient également sur une fondation Chromium, peuvent maintenant être mis à jour pour se protéger contre le tas de vulnérabilités de haute gravité. J’utilise Brave comme navigateur principal de choix ces jours-ci, notamment parce que les aspects de confidentialité qu’il offre si bien qu’il a tendance à rendre ces mises à jour de sécurité importantes disponibles assez rapidement après la divulgation initiale de Google. L’opéra est également généralement assez rapide à cet égard.
Ce qui m’amène à la moins bonne nouvelle pour les utilisateurs du deuxième navigateur de bureau le plus populaire au monde, Microsoft Edge. Au moment de la rédaction de cet article, et j’ai vérifié toutes les heures aujourd’hui, environ 48 heures après l’annonce de la mise à jour de Google Chrome, les utilisateurs d’Edge ne peuvent toujours pas mettre à jour la sécurité de leur navigateur. Ce n’est pas comme si Microsoft n’était pas au courant des vulnérabilités, bien sûr, et une vérification rapide de la Notes de mise à jour des mises à jour de sécurité Microsoft Edge le confirme. Un message du 10 mai indique : « Microsoft est au courant des récents correctifs de sécurité de Chromium. Nous travaillons activement à la publication d’un correctif de sécurité. »
J’ai contacté Microsoft pour lui demander quelles sont les raisons de ce retard et, en effet, pourquoi les utilisateurs de Microsoft Edge semblent toujours devoir attendre plus longtemps que les utilisateurs de Chrome, Brave ou Opera pour être protégés contre les vulnérabilités connues. Le bureau de presse de Microsoft m’assure qu’ils examineront cela pour moi, alors j’espère pouvoir vous mettre à jour avec une réponse en temps voulu. En attendant, cependant, je vous suggère de suivre les instructions détaillées ci-dessous afin de garder un œil (sans jeu de mots) sur l’arrivée du correctif de sécurité. Comme avec tous les navigateurs basés sur Chromium, le téléchargement et l’installation de la mise à jour ne suffisent pas à eux seuls; vous devez redémarrer le navigateur avant qu’il puisse être lancé et commencer à vous protéger contre un danger potentiel.
Je comprends que Microsoft doit s’assurer que tous les correctifs qu’il applique peuvent être utilisés en toute sécurité sur une large base d’utilisateurs. Il suffit de regarder la situation avec les latest Déploiement patch tuesday des mises à jour de sécurité pour les utilisateurs de Windows pour voir des preuves de ce qui peut mal tourner. Les dernières nouvelles La mise à jour du Patch Tuesday de mai a provoqué des échecs d’authentification pour plusieurs utilisateurs professionnels et une mise à jour hors bande de la mise à jour d’origine est attendue bientôt. Cela dit, ce que je ne comprends pas, c’est pourquoi des entreprises comme Brave et Opera, bien qu’avec des bases d’utilisateurs plus petites et moins d’utilisateurs critiques pour l’entreprise, peuvent agir avec beaucoup plus de précipitation. En effet, Chrome lui-même a une base d’utilisateurs massivement plus grande à la fois sur les profils des consommateurs et des entreprises avec environ 3,2 milliards d’utilisateurs au total. Bien que tous les navigateurs basés sur Chromium soient différents en ce sens qu’ils enveloppent toutes sortes de composants propriétaires autour du code de base, il doit y avoir une meilleure façon de le faire. Une divulgation coordonnée entre les fournisseurs, avec des mises à jour de sécurité prévues pour une publication simultanée, semblerait être la solution idéale. Je doute que cela se produise, d’autant plus que le marché des navigateurs est si concurrentiel, mais les délais mesurés en termes de jours entre les mises à jour de sécurité pour les mêmes vulnérabilités ne vont jamais obtenir mon vote en termes d’efficacité de sécurité pure.
Dirigez-vous vers l’aide| À propos de l’option dans votre menu Google Chrome, et si la mise à jour est disponible, le téléchargement commencera automatiquement. Redémarrez pour activer la mise à jour.
Rendez-vous sur Aide et commentaires| À propos de Microsoft Edge dans le menu à trois points en haut à droite et si une mise à jour est disponible, cela forcera le processus à démarrer. Une fois téléchargé et installé, comme toujours, fermez tous les onglets et redémarrez votre navigateur.
Dirigez-vous vers « À propos de Brave » à partir du menu de la pile de hamburgers en haut à droite. Cela lancera automatiquement le processus de vérification, de téléchargement et d’installation des mises à jour. Redémarrez le navigateur pour l’activer.
Au lieu de regarder en haut à droite comme avec la plupart des navigateurs, les utilisateurs d’Opera doivent se diriger vers le logo Opera ‘O’ en haut à gauche. Cliquez dessus et sélectionnez Aide| À propos d’Opera.
Les utilisateurs Windows, Linux et Mac du navigateur Google Chrome peuvent respirer facilement pour le moment. Ce dernier avertissement de sécurité s’adresse uniquement aux utilisateurs de smartphones pour un changement. Dans un Confirmation de mise à jour de Chrome publiée le 9 mai, Google a révélé pas moins de 13 correctifs de sécurité. Parmi ceux-ci, huit ont été assignés Vulnérabilités et expositions courantes (CVE) des cotes de gravité élevées, l’un obtenant un score moyen. Les autres, quatre en tout, sont enveloppés d’un « correctif divers » provenant du travail de sécurité interne en cours qui n’a pas reçu de numéros CVE.
11 000 $ attribués à des chercheurs en sécurité dans le cadre de paiements de bug bounty
Parmi ceux qui ont reçu des évaluations, trois vulnérabilités de sécurité Chrome pour Android de haute gravité ont vu des paiements de bug bounty totalisant 11 000 $ versés aux chercheurs en sécurité qui les ont divulgués. La vulnérabilité solitaire de gravité moyenne a rapporté un paiement de prime de 5 000 $. Quatre des autres sont en ligne pour un paiement monétaire, mais les montants n’ont pas encore été confirmés par Google.
Mise à jour vers Google Chrome v101.0.4951.61as dès que vous le pouvez
Comme d’habitude, le conseil de Forbes Straight Talking Cyber est de s’assurer que votre smartphone est mis à jour dès que possible afin que les correctifs de vulnérabilité puissent être appliqués. Google a déclaré que le correctif est en cours de déploiement et devrait être disponible sur Google Play « au cours des prochains jours ». La version mise à jour, selon l’annonce de Google, est Chrome v101.0.4951.61 pour Android. Au moment d’écrire ces lignes, mon Samsung Galaxy Note 10+ est toujours sur la mise à jour du 26 avril de v101.0.4951.41 et n’a donc pas encore été corrigé.
Recherchez une version .61 de l’application Chrome
Davey Winder
Comment vérifier votre numéro de version de Google Chrome pour Android
Le meilleur conseil est de laisser Google mettre à jour votre application dès qu’elle est disponible. Pour configurer cela, accédez au menu à trois points de l’application Google Play et dirigez-vous vers Paramètres| Préférences réseauMise à jour automatique des applications.
Pour vérifier votre numéro de version de Chrome pour Android, allez dans le menu à trois points de l’application Chrome elle-même et sélectionnez Aide et commentaires, puis dans le menu à trois points, il y a Informations sur la version.
Pour vérifier Google Play pour la dernière version, ouvrez l’application et cliquez sur l’icône de votre profil en haut à droite. À partir de là, vous souhaitez gérer les applications et les appareils| Mises à jour disponibles.
Dirigez-vous vers les mises à jour disponibles pour voir si la nouvelle version de Chrome est prête
Davey Winder
Ce sont les vulnérabilités de sécurité chrome qui ont a été corrigé
Les neuf vulnérabilités de sécurité couvertes par cette mise à jour de Chrome sont les suivantes, rappelez-vous que Google restreint l’accès à tous les détails jusqu’à ce qu’une majorité d’utilisateurs aient eu la chance de mettre à jour leur application de navigateur.
Indice de gravité élevé :
- CVE-2022-1633 : Utiliser après free dans Sharesheet.
- CVE-2022-1634 : Utilisation après gratuit dans l’interface utilisateur du navigateur.
- CVE-2022-1635 : Utiliser après libération dans les invites d’autorisation.
- CVE-2022-1636 : Utilisation après libération dans les API de performance.
- CVE-2022-1637 : Implémentation inappropriée dans le contenu Web.
- CVE-2022-1638 : Débordement de la mémoire tampon du tas dans V8 Internationalization.
- CVE-2022-1639 élevé : à utiliser après libération dans ANGLE.
- CVE-2022-1640 : Utiliser après gratuit dans le partage.
Indice de gravité moyen :
- CVE-2022-1641 : Utilisation après gratuit dans les diagnostics de l’interface utilisateur Web.
