Google a publié mercredi une nouvelle série de mises à jour de sécurité Chrome intitulées par une faille zero-day qui est activement ciblée dans la nature.
Le géant de la technologie a déclaré que son Mise à jour de sécurité d’août inclut un total de 11 correctifs, y compris des correctifs pour 10 vulnérabilités répertoriées CVE. Une vulnérabilité de Chrome, CVE-2022-2852, est classée comme un risque critique, six sont classées comme risque élevé et les trois autres sont toutes considérées comme des risques moyens.
La mise à jour comprenait un correctif pour CVE-2022-2856, un jour zéro vulnérabilité dans la façon dont le composant Intents traite la validation des entrées. Google a noté que la vulnérabilité est actuellement exploitée dans la nature.
L’avis de Google n’a pas fourni beaucoup d’informations sur la vulnérabilité elle-même, décrivant seulement le problème comme « une validation insuffisante des entrées non fiables dans Intents ». Intents est un API qui permet au navigateur Chrome d’ouvrir des applications externes.
Ashley Shen et Christian Resell de Google Threat Analysis Group ont été crédités d’avoir signalé le bogue à l’équipe de développeurs de Chrome.
Alors que Google n’était pas très ouvert avec des détails sur la vulnérabilité sous-attaquée, les chercheurs ont pu en comprendre suffisamment pour savoir que le bogue pourrait potentiellement être dangereux lorsqu’il est exploité.
« Web Intents est basé sur Android Intents et offre une intégration aux applications Web pour les développeurs », a déclaré Dustin Childs, responsable de la communication de Trend Micro Zero Day Initiative, à TechTarget Editorial. « Le bogue se manifeste probablement lorsqu’un utilisateur tente d’utiliser une intention à des fins quelconques. Si un acteur de la menace peut apporter une réponse spécialement conçue, il pourrait obtenir l’exécution de code sur le système cible.
Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré à TechTarget Editorial que la vulnérabilité Chrome pourrait potentiellement être liée à d’autres bogues pour échapper aux protections sandbox du navigateur et effectuer des exploits supplémentaires.
« C’est la plus grande préoccupation avec des défauts comme ceux-ci; leur utilisation dans le cadre d’une chaîne de vulnérabilité », a expliqué Narang.
« En règle générale, nous savons que lorsqu’un zero-day dans un navigateur a été exploité, il est souvent lié à des groupes de menaces persistantes avancées (APT), et leur objectif est plus étroit vers un sous-ensemble spécifique de cibles, ce qui constituerait moins une menace à un niveau plus large. Mais une fois que ces détails deviennent disponibles et que les exploits de preuve de concept commencent à circuler, les attaquants de tous types sont prompts à les intégrer dans leurs playbooks.
Selon Tenable, CVE-2022-2856 est la cinquième faille zero-day que Google a corrigée dans Chrome cette année. En juillet, une faille zero-day dans WebRTC, CVE-2022-2294, s’est avérée être attaquée dans la nature, et en mars, Google a révélé qu’une vulnérabilité non corrigée dans le navigateur, CVE-2022-0609, avait été exploité par des pirates nord-coréens pendant six semaines entières avant sa découverte par des chercheurs en sécurité.
Il est conseillé aux utilisateurs et aux administrateurs de mettre à jour Chrome dès que possible. Dans la plupart des cas, cela peut être fait en redémarrant simplement le navigateur.