L’Agence américaine de cybersécurité et d’infrastructure (CISA) a exhorté vendredi les utilisateurs et les administrateurs à mettre à jour vers une nouvelle version de Chrome que Google a publiée la semaine dernière pour corriger un total de sept vulnérabilités dans son navigateur.
Dans un avis, Google a décrit quatre des failles – dont trois ont été signalées à l’entreprise par des chercheurs externes – comme présentant un risque élevé pour les organisations. La société a déclaré qu’elle avait décidé de restreindre l’accès aux détails des bogues jusqu’à ce que la plupart des utilisateurs aient mis à jour vers la nouvelle version de Chrome (102.0.5005.115).
L’une des vulnérabilités est une soi-disant utilisation après problème gratuit dans l’interface de programmation d’application WebGPU pour fonctions telles que le calcul et le rendu sur une unité de traitement graphique. Le bogue (CVE-2022-2007) est exploitable à distance et peut avoir un impact sur la confidentialité, l’intégrité et la disponibilité des systèmes affectés, selon un description de la faille sur la base de données de vulnérabilité VulDB. « Aucune forme d’authentification n’est nécessaire pour l’exploitation. Cela exige que la victime fasse une sorte d’interaction avec l’utilisateur », a noté VulDB.
Google a accordé 10 000 $ au chercheur en sécurité qui a signalé la faille à l’entreprise en mai. VulDB a estimé que le prix d’un exploit pour la faille se situait entre 5 000 et 25 000 dollars actuellement, bien que cela puisse bientôt augmenter, a-t-il noté.
Le deuxième défaut est une utilisation d’accès à la mémoire hors limites dans l’API WebGL pour le rendu de graphiques 2D et 3D. Deux chercheurs de la société vietnamienne VinCSS Internet Security Services ont signalé le bug (CVE-2022-2008) en avril. VulDB a décrit la faille comme étant exploitable à distance mais nécessitant au moins une certaine interaction de l’utilisateur par la victime. La faille semble être facilement exploitable et ne nécessite aucune authentification, a déclaré VulDB. L’avis de Google a noté que la récompense pour la divulgation de la vulnérabilité n’avait pas encore été déterminée.
La troisième vulnérabilité de gravité élevée corrigée par la nouvelle version de Chrome (CVE-2022-2010) est un problème de lecture hors limite dans Compositing ou dans le rendu du contenu de la page Web. Un chercheur en sécurité de l’équipe de chasse aux bogues Project Zero de Google a découvert la vulnérabilité en mai. Comme les deux autres défauts, celui-ci aussi affecte la confidentialité, l’intégrité et la disponibilité des systèmes affectés, a déclaré VulDB.
La quatrième vulnérabilité de haute gravité que Google a révélée est un problème d’utilisation après libération qu’un chercheur en sécurité externe a signalé à la société en mai. La faille (CVE-2022-2011) existe dans ANGLE, une fonction que Google décrit comme un »moteur de couche graphique presque natif« dans Chrome. La vulnérabilité de corruption de mémoire a un impact presque identique à celui des trois autres, d’après la description du problème par VulDB.
CISA : Des failles permettent aux attaquants de prendre le contrôle des systèmes affectés
L’ACSC a exhorté les organisations à examiner Note de mise à jour de Google Chrome et appliquer la mise à jour pour atténuer les risques. Google a publié chrome version 102.0.5005.115 pour Windows, Mac et Linux. Cette version corrige les vulnérabilités qu’un attaquant pourrait exploiter pour prendre le contrôle d’un système affecté », a-t-il déclaré.
Les sept défauts que Google a corrigés avec sa dernière version de Chrome sont considérablement plus petits que d’autres divulgations de bogues récentes liées à Chrome de la société. Une mise à jour de Chrome que Google a publiée le 24 mai correctifs inclus pour 32 défauts, dont l’un a été évalué comme étant de gravité critique tandis que sept autres ont été jugés très critiques. Une autre mise à jour, également en mai, contenaient des correctifs pour 13 défauts, dont huit ont été jugés très graves par la société.
