Google a publié une mise à jour inattendue de son navigateur Chrome pour corriger une faille WebRTC zero-day qui est activement exploitée.
Le coupable est CVE-2022-2294, et est un problème dans WebRTC – le code qui imprègne les navigateurs avec des capacités de communication en temps réel.
Les détails de la faille, le nombre 1341043, ne sont actuellement pas détaillés dans le journal des bogues du projet Chromium, et les détails du CVE n’ont pas été publiés au moment de la rédaction. Mais Google notification d’une nouvelle version du navigateur le décrit comme suit : « Heap buffer overflow in WebRTC. Rapporté par Jan Vojtesek de l’équipe Avast Threat Intelligence le 2022-07-01.
Le correctif installe Chrome 103.0.5060.114 pour Windows et Chrome 103.0.5060.71 pour Android, qui apparaîtront bientôt.
Google affirme que la faille fait l’objet d’une attaque active, mais n’offre aucun aperçu de la façon dont on pourrait la détecter ou se défendre contre elle autrement qu’en mettant à jour Chrome. Compte tenu de la nature et de l’objectif de WebRTC, il est probablement préférable de ne pas utiliser d’outils de communication basés sur un navigateur jusqu’à ce que vous puissiez mettre à jour.
Les mises à jour de Chrome corrigent également d’autres défauts, à savoir:
- CVE-2022-2295, une confusion de type dans le moteur JavaScript V8 utilisé dans Chrome ;
- CVE-2022-2296, une utilisation après erreur gratuite dans Chrome OS Shell;
Les trois défauts sont classés Gravité élevée.
La publication de nouvelles coupes Chrome est la quatrième fois en 2022 que Google doit publier des correctifs d’urgence. Heureusement, Chrome se met à jour avec peu d’intervention de l’utilisateur requise, de sorte que les millions d’utilisateurs du logiciel devraient être protégés contre ces derniers problèmes dans un court laps de temps. Qu’ils soient en sécurité à long terme est une autre question.
La faille WebRTC a été signalée le 1er juillet et la notification de Google des coupes Chrome mises à jour pour la corriger est datée du 4 juillet, suggérant que les membres de l’équipe Chrome ont perdu un week-end à préparer le correctif et l’ont fait avec une vitesse décente. Mais les mauvais acteurs peuvent faire beaucoup de méfaits en trois jours… ®