Google a récemment déployé un correctif d’urgence pour une vulnérabilité zero-day, la septième jusqu’à présent en 2022, affectant son navigateur Web phare Chrome. Le dernier correctif corrige un bug de confusion de type dans le moteur V8 basé sur JavaScript.
Suivi comme CVE-2022-3723, la faille est la septième vulnérabilité zero-day, c’est-à-dire dont l’exploit est accessible au public, et la troisième faiblesse de confusion de type dans le moteur V8 de Chrome. Inutile de dire que les utilisateurs devraient donner la priorité à la correction de la vulnérabilité en mettant à jour Google Chrome vers la version 107.0.5304.87 / 107.0.5304.88 dès que possible.
Les chercheurs en sécurité Jan Vojtěšek, Milánek et Przemek Gmerek d’Avast ont découvert le bogue de confusion de type qui peut permettre l’exécution arbitraire de code. Les détails de la vulnérabilité ne sont actuellement pas divulgués publiquement pour des raisons de sécurité.
L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également les restrictions si le bogue existe dans une bibliothèque tierce dont dépendent d’autres projets de la même manière, mais qui n’ont pas encore été corrigés », a déclaré Google.
D’après Énumération des faiblesses courantes (CWE), la confusion de type résulte de tout programme accédant à une ressource système à l’aide d’un type incompatible. Ainsi, si un programme initialise une ressource, telle qu’un objet ou une variable, en définissant un type, mais accède ultérieurement à cette même ressource avec un autre type incompatible avec le type d’objet d’origine, il peut déclencher des erreurs logiques.
Un exploit réussi des vulnérabilités de confusion de type peut permettre aux acteurs de la menace d’accéder à la mémoire système hors limites, en particulier dans les applications écrites dans des langages sans sécurité mémoire, tels que C et C ++, et permettre l’exécution arbitraire de code. V8 est écrit en C++.
« En gros, cela signifie qu’il est presque certain que le simple fait de visiter et de visualiser un site Web piégé – quelque chose qui n’est pas censé vous mettre en danger par lui-même – pourrait suffire à lancer du code malveillant et à implanter des logiciels malveillants sur votre appareil, sans aucune fenêtre contextuelle ou autre avertissement de téléchargement. » écrivirent Paul Ducklin, chercheur principal chez Sophos.
Voir plus: La vulnérabilité de gravité élevée de GitHub a exposé 10 000 packages à RepoJacking
Eran Livne, directeur principal de la gestion des produits chez Qualys, a écrit dans un Article de blog, « Les attaques sur le composant V8 de Chrome ne sont pas typiques mais sont parmi les plus dangereuses. Google ne définit pas le niveau d’activité concernant l’exploitation qui existe dans la nature, donc on ne sait pas si les attaques utilisant CVE-2022-3723 sont généralisées ou limitées pour le moment.
Les sept vulnérabilités zero-day de Chrome sont répertoriées ci-dessous :
Vulnérabilité | Type | Réside dans | CVSS Score | Versions vulnérables de Chromium |
CVE-2022-0609 | Utilisation après gratuité | Animation | 8.8 | Avant 98.0.4758.102 |
CVE-2022-1096 | Confusion de type | Moteur V8 | 8.8 | Avant 99.0.4844.846 |
CVE-2022-1364 | Confusion de type | Moteur V8 | 8.8 | Avant 100.0.4896.127 |
CVE-2022-2294 | Débordement de la mémoire tampon du tas | WebRTC | 8.8 | 103.0.5060.114 |
CVE-2022-2856 | Validation insuffisante des entrées non fiables | Fins utiles | 6.5 | Avant 104.0.5112.97 |
CVE-2022-3075 | Validation insuffisante des données | Mojo | 9.6 | Avant 105.0.5195.54 |
CVE-2022-3723 | Confusion de type | Moteur V8 | Na | Avant 107.0.5304.87 |
Dans l’ensemble, Google Chrome a été trouvé avec 303 vulnérabilités jusqu’au 5 octobre 2022, selon AtlasVPN. Le navigateur populaire, qui bénéficie d’un 65,27 % de part de marché, présente également le plus grand nombre de vulnérabilités découvertes de tous les temps.
Navigateurs Web par nombre de vulnérabilités | Source: AtlasVPN
Le moteur V8 est utilisé dans la plupart des navigateurs Web basés sur Chromium, y compris Brave, Opera, Vivaldi et Microsoft Edge, en plus de Google Chrome.
Pour mettre à jour Chrome, cliquez sur les trois ellipses verticales dans le coin supérieur droit > Paramètres > À propos de Chrome, où le navigateur recherchera automatiquement les mises à jour. L’application invitera les utilisateurs à redémarrer Chrome après l’installation des mises à jour.
Faites-nous savoir si vous avez aimé lire cette nouvelle sur LinkedIn (en anglais), Gazouillerou Facebook (en anglais). Nous aimerions avoir de vos nouvelles!
Source de l’image : Shutterstock