Google a maintenant publié trois mises à jour de sécurité d’urgence, hors bande, pour le navigateur Chrome en autant de semaines. De plus, celui-ci, comme le premier, consiste à corriger une vulnérabilité zero-day de haute gravité qui est déjà exploitée par des attaquants.

Trois mises à jour de sécurité Google Chrome d’urgence en trois semaines

Google a publié une autre mise à jour de sécurité d’urgence pour les 3,2 milliards d’utilisateurs du navigateur Web Chrome. La troisième mise à jour de ce type, qui révèle une seule vulnérabilité de haute gravité, sera sortie à la hâte dans trois semaines. Celui-là comme le premier de ce triumvirat inquiétant de menaces, il y a une vulnérabilité zero-day : une vulnérabilité dont Google a confirmé qu’elle est déjà exploitée par des attaquants.

Quelle est la gravité de cve-2022-1364 ?

Les similitudes ne s’arrêtent pas là cependant. CVE-2022-1364, la vulnérabilité en question, est une autre « Confusion de type dans V8 ». Cela signifie qu’il a un impact sur le moteur JavaScript utilisé par les navigateurs alimentés par Chromium tels que Google Chrome, Microsoft Edge, Brave et autres. Comme précédemment, Google ne met pas d’autres détails techniques à disposition, et la confirmation de mise à jour indique que « nous conserverons également la restriction », ce qui suggère qu’il s’agit d’une vulnérabilité particulièrement grave.

Le processus de mise à jour de sécurité aura déjà commencé et le correctif devrait être disponible dans les jours et les semaines à venir. Cette mise à jour d’urgence amène Chrome à la version 100.0.4896.127, sur les plates-formes Windows, Mac et Linux. Les utilisateurs de navigateurs tels que Microsoft Edge, Brave, Vivaldi et Opera sont invités à être attentifs aux mises à jour probables pour ceux qui seront disponibles sous peu.

PLUS DE FORBESGoogle publie soudainement une nouvelle mise à jour de sécurité d’urgence pour 3,2 milliards d’utilisateurs de ChromePar Davey Winder

Étrangement l’annonce de la mise à jour de Google déclare qu’il inclut deux correctifs de sécurité mais ne répertorie en fait que CVE-2022-1364 tel que divulgué par Clément Lecigne qui travaille avec le Google Threat Analysis Group. La gravité de cette vulnérabilité est une fois de plus mise en évidence par le fait qu’elle a été signalée à Google le 13 avril et que la mise à jour de sécurité a été publiée le lendemain. C’est un délai d’exécution rapide très bienvenu, mais tout aussi inhabituel.

J’ai contacté Google pour une déclaration.

Système de divulgation des vulnérabilités de Google fonctionnant comme prévu

Comme je l’ai déjà dit, cela n’équivaut pas à une mauvaise sécurité de Google, bien au contraire. La maturité du programme de sécurité Google Chrome est attestée par la découverte et la correction de ces vulnérabilités. C’est la preuve que le système de divulgation des vulnérabilités fonctionne et fonctionne bien. Bien sûr, il serait préférable qu’il n’y ait pas de telles vulnérabilités de gravité dans le code pour commencer, mais la vérité est que nous ne vivons pas dans un monde idéal où les erreurs ne sont pas commises.

PLUS DE FORBESCes 6 applications téléphoniques dangereuses doivent être supprimées immédiatementPar Davey Winder

Comment appliquer le correctif de sécurité Google Chrome

Chrome devrait se mettre à jour automatiquement à mesure que le correctif devient disponible pour vous. Cependant, il est conseillé de lancer le processus de mise à jour dès que possible étant donné que des attaques sont en cours.

Dirigez-vous vers l’aide| À propos de l’option dans votre menu Google Chrome. Si votre version de Chrome ne s’affiche pas comme 100.0.4896.127, elle sera vulnérable à l’exploit connu. La mise à jour devrait toutefois maintenant commencer à se télécharger automatiquement. Cela peut prendre quelques jours pour que la mise à jour atteigne tout le monde, alors soyez patient si vous ne la voyez pas encore.

N’oubliez pas non plus de redémarrer votre navigateur après l’installation de la mise à jour, sinon il ne s’activera pas et vous serez toujours vulnérable aux attaques.