Mise à jour du 20 août ci-dessous. Cet article a été initialement publié le 18 août

Si vous êtes un utilisateur du navigateur Chrome, que ce soit dans la version Windows, Mac ou Linux, Google a de mauvaises nouvelles pour vous. Les attaquants exploitent déjà une vulnérabilité de sécurité à fort impact qui pourrait les amener à prendre le contrôle d’une ressource système ou à exécuter du code arbitrairement. Il s’agit du cinquième zero-day auquel Google a dû faire face en 2022 jusqu’à présent.

PLUS DE FORBESUne nouvelle menace pour smartphone apporte un ransomware à Android et cible les cookies GmailPar Davey Winder

Qu’est-ce que le Google Chrome CVE-2022-2856 Zero-Day ?

Dans un avis publié le 16 août, Srinivas Sista de l’équipe Google Chrome confirme que un total de onze vulnérabilités de sécurité, allant de l’impact moyen à l’impact critique, ont été corrigés dans la dernière mise à jour de Chrome. L’un d’entre eux, CVE-2022-2856, est le jour zéro en question. « Google est conscient qu’un exploit pour CVE-2022-2856 existe dans la nature », a déclaré Sista.

Peu de détails sont rendus publics sur la vulnérabilité zero-day jusqu’à ce qu’une majorité d’utilisateurs aient eu le temps de s’assurer que la mise à jour est installée et activée.

Cependant, Google confirme que CVE-2022-2856 a été signalé par des pirates informatiques du Google Threat Analysis Group, Ashley Shen et Christian Resell, le 19 juillet. Il s’agit, selon l’avis, d’une « validation insuffisante des contributions non fiables dans intents ».

Ce qui sera aussi clair que de la boue pour la plupart des utilisateurs.

PLUS DE FORBESCisco piraté: Ransomware Gang prétend qu’il a 2.8GB de donnéesPar Davey Winder

Tout ce que je peux ajouter, à ce stade, pour tenter de clarifier, c’est que les « intentions » mentionnées sont la façon dont Chrome traite les entrées des utilisateurs. Il est possible, bien que, encore une fois, je ne puisse pas confirmer les détails techniques précis de CVE-2022-2856, qu’en créant une entrée malveillante qui empêche Chrome de la valider, conduisant potentiellement à l’exécution arbitraire de code.

Quelles mesures devez-vous suivre pour sécuriser Google Chrome ?

Ce que je peux dire en toute confiance, c’est que vous devriez vérifier que votre navigateur a été mis à jour vers la dernière version de Chrome dès que possible. Pour les utilisateurs Mac et Linux, ce sera Chrome 104.0.5112.101, tandis que pour les utilisateurs de Windows, il pourrait s’agir de 104.0.5112.101 ou 104.0.5112.102, juste pour une confusion indésirable supplémentaire.

Bien que Chrome doive se mettre à jour automatiquement, il est recommandé de forcer la vérification des mises à jour pour qu’elle soit sûre. Vous devez également effectuer une étape supplémentaire avant que votre navigateur ne soit sécurisé contre cette menace zero-day et les autres menaces divulguées.

Accédez à l’entrée À propos de Google Chrome dans le menu du navigateur, qui forcera une vérification de toute mise à jour disponible. Une fois cette mise à jour téléchargée et installée, un bouton de relance devient disponible. Après avoir relancé le navigateur, la mise à jour s’activera et vous protégera du cinquième jour zéro de Google Chrome de l’année.

PLUS DE FORBESMicrosoft confirme la mise à jour de Windows 10, 11 et des attaques de serveur à fort impact maintenantPar Davey Winder

Comme d’autres navigateurs basés sur le moteur Chromium seront probablement affectés par les mêmes vulnérabilités, attendez-vous à ce que des mises à jour pour Brave, Edge et Opera suivent en temps voulu.

Mise à jour du 20 août :

CISA ajoute Chrome zero-day au catalogue des vulnérabilités exploitées connues

Bien que presque toute la couverture médiatique grand public, pas seulement les publications technologiques, ait porté sur le récemment corrigé Apple iOS et macOS zero-days, cela ne signifie pas que celui de Google Chrome devient soudainement sans importance. Le fait que la Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis ait ajouté CVE-2022-2856 au « Known Exploited Vulnerabilities Catalog » en est la preuve. Cette liste de vulnérabilités connues pour être exploitées par des acteurs de la menace dans le monde réel est accompagnée d’une forte recommandation de la CISA d’appliquer les correctifs disponibles dès que possible. Inutile de dire, mais je le ferai quand même, les deux vulnérabilités Apple (CVE-2022-32893 et CVE-2022-32894) sont également incluses dans cette dernière mise à jour du catalogue CISA.

La sécurité du navigateur s’étend au-delà du problème des vulnérabilités

Cependant, ce ne sont pas seulement les vulnérabilités, ou même les vulnérabilités zero-day, que l’utilisateur de Google Chrome soucieux de la sécurité doit connaître. Au début du mois d’août, j’ai rapporté comment un groupe de cybercriminalité appelé SharpTongue, aurait des liens avec un autre groupe, Kimsuky, dont la CISA rapporte qu’elle est susceptible d’être « chargée par le régime nord-coréen d’une mission mondiale de collecte de renseignements », était contourner la nécessité de collecter des informations d’identification pour espionner les messages Gmail. L’attaque SHARPEXT pouvait même lire les e-mails des utilisateurs qui avaient implémenté l’authentification à deux facteurs. Il gère cela en saisissant les cookies d’authentification dans ce que l’on appelle une attaque de l’adversaire au milieu (AiTM).

Le malware SHARPEXT vient par le biais, et voici le point « pas seulement les vulnérabilités », une extension de navigateur escroc. En plus de Chrome, la campagne ciblait Edge (basé sur le même moteur Chromium) et un client peu connu en Occident appelé Whale, qui semble être utilisé en Corée du Sud. Nouveau Les recherches de Kaspersky ont mis en lumière l’ensemble du problème de sécurité des extensions de navigateur, et ce n’est pas seulement limité aux navigateurs basés sur Chromium.

Les recherches de Kaspersky révèlent l’étendue du problème d’extension de navigateur malveillant

Selon les recherches de Kaspersky, au cours des six premiers mois de 2022 seulement, quelque 1 311 557 utilisateurs ont tenté de télécharger des extensions malveillantes ou indésirables. Cela, cher lecteur, représente une augmentation de 70% par rapport au nombre de personnes touchées de la même manière tout au long de l’année 2021. Alors que la diffusion de publicités indésirables était la cible la plus courante de ces extensions de navigateur, ce n’est pas toute l’histoire: les extensions avec une charge utile de logiciels malveillants étaient les deuxièmes plus courantes. En effet, entre janvier 2020 et juin 2022, les chercheurs de Kaspersky affirment que quelque 2,6 millions d’utilisateurs individuels ont été attaqués par de telles extensions malveillantes.

Vérifiez que votre navigateur basé sur Chromium est à jour et corrigé

Et enfin, j’ai mentionné dans l’article original sur la mise à jour de Chrome que d’autres navigateurs publieraient des mises à jour en temps voulu. Ceux-ci semblent à tous être maintenant en place. Reportez-vous aux images ci-dessous pour voir les derniers numéros de version de Brave, Edge et Opera.