Mise à jour du 6 décembre ci-dessous. Cet article a été initialement publié le 4 décembre
Google a confirmé une autre vulnérabilité zero-day affectant le client du navigateur Web Chrome, la neuvième cette année. Dans un message publié sur le blog officiel des versions de Chrome, Google déclare que les utilisateurs de Chrome sur les plates-formes Windows, Mac et Linux ainsi que Androïde, sont touchés par la vulnérabilité de sécurité de haute gravité CVE-2022-4262 0day. Une mise à jour urgente a commencé à être déployée sur toutes les plates-formes, et Google retient les détails techniques du zero-day jusqu’à ce qu’une majorité d’utilisateurs de Chrome aient mis à jour.
Mise à jour du 6 décembre :
Ed Williams, directeur de SpiderLabs (EMEA) chez Trustwave, qui dirige une équipe de pirates éthiques, d’enquêteurs médico-légaux et de chercheurs en sécurité, a averti que les organisations et les utilisateurs individuels devraient mettre à jour le navigateur Google Chrome immédiatement. Cela fait suite au fait que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a donné aux agences fédérales jusqu’au lendemain de Noël, le 26 décembre, pour corriger la dernière menace 0Day Chrome.
Dans un affichage daté du 5 décembre, CISA a confirmé avoir ajouté la vulnérabilité exploitée de Google Chrome, CVE-2022-4262, au catalogue des vulnérabilités exploitées connues et exhorte toutes les organisations à appliquer des correctifs dès que possible. La directive opérationnelle contraignante BOD 22-01 donne aux agences fédérales trois semaines pour corriger les systèmes. Cependant, Williams avertit que c’est beaucoup trop long:
« Cette faille nouvellement découverte et exploitée dans Google est importante pour plusieurs raisons. Le navigateur Google Chrome a une part de marché mondiale de ~ 63%, ce qui est un marché adressable total (TAM) massif et que les utilisateurs malveillants sauteront probablement sur le dos. Ce navigateur est populaire sur une variété de systèmes d’exploitation, ce qui en fait encore une fois une vulnérabilité formidable pour les utilisateurs malveillants. Un navigateur, de par sa nature même, doit avoir une connectivité Internet, franchissant une barrière de confiance, ce qui facilite encore le mécanisme de livraison – il peut s’agir d’un lien malveillant ou d’un e-mail de phishing. Ajoutez à cela le fait que les utilisateurs sont lents à mettre à jour et à corriger leurs navigateurs (à la fois sur les ordinateurs de bureau et les appareils mobiles), ce qui crée une situation très dangereuse pour les organisations et les individus. Mon opinion est que donner aux organisations trois semaines pour corriger une vulnérabilité signifiera probablement qu’elles corrigent ladite vulnérabilité en trois semaines. C’est trop long. Des attaquants organisés et motivés utiliseront cela comme arme en quelques heures. De toute évidence, il incombe ici aux organisations et aux particuliers d’apporter des correctifs le plus rapidement possible; Ils devraient disposer des outils et des ressources nécessaires pour le faire, car nous savons qu’une vulnérabilité de cette gravité aura un impact.
Que savons-nous de CVE-2022-4262 ?
Confirmant qu’il est au courant d’un exploit pour cette menace existant dans la nature, Google a seulement décrit CVE-2022-4262 comme une « confusion de type, vulnérabilité au sein du moteur JavaScript V8. « Il est très probable que cette vulnérabilité permette l’exécution de code à distance », explique Mike Walters, vice-président de la recherche sur les vulnérabilités et les menaces chez Action1. « Ce qui signifie qu’un acteur de la menace pourrait entraîner l’exécution de n’importe quel script ou charge utile de malware sur l’appareil des victimes. » Walters avertit que, le plus souvent, cela signifie que les acteurs de la menace peuvent exploiter une telle vulnérabilité lorsque les utilisateurs visitent un site Web malveillant. Les attaquants « volent ensuite les données des appareils concernés ou créent des botnets pour effectuer des attaques par déni de service distribué (DDoS), extraire de la crypto-monnaie ou envoyer du spam », ajoute-t-il.
Pourquoi vous devez forcer la mise à jour de Google Chrome maintenant
Bien que Google Chrome dispose d’un processus de mise à jour automatisé, ce qui signifie qu’une fois que le correctif de sécurité atteint votre appareil, il est installé automatiquement, il ne devient effectif qu’une fois que le navigateur lui-même redémarre. Cela signifie qu’il existe deux problèmes qui peuvent empêcher la sécurisation immédiate de votre navigateur: premièrement, attendre que la mise à jour vous parvienne et, deuxièmement, redémarrer Chrome lui-même. Alors que Google déclare que la mise à jour sera déployée dans les jours et les semaines à venir, cela pourrait s’avérer trop tard pour certains. C’est pourquoi vous devez mettre à jour Google Chrome maintenant.
Comment forcer une mise à jour de sécurité pour Google Chrome
Vous pouvez « forcer » une mise à jour de sécurité Google Chrome en demandant au navigateur de vérifier si elle est à jour. Cela évite tout délai d’attente pour qu’il vienne à vous. Dirigez-vous simplement vers Paramètres| À propos de Chrome, et Chrome vérifiera si vous avez la dernière version et sinon, alors un téléchargement et une installation wMal démarrer automatiquement. N’oubliez pas, cependant, que la version Chrome 108.0.5359.94 (ou 108.0.5359.95 pour certains utilisateurs) pour Windows, et la version 108.0.5359.94 pour Mac et Linux, ne deviendront actives qu’après le redémarrage du navigateur. La version complète de Chrome pour Android est 108.0.5359.79, et vous devriez vérifier qu’elle a été mise à jour sur votre appareil.
Vérifiez votre version de Chrome en urgence
Davey Winder« La gravité de cette vulnérabilité peut difficilement être surestimée », conclut Walters, « c’est pourquoi nous vous recommandons de mettre à jour votre navigateur Chrome dès que possible. »
Les utilisateurs d’autres navigateurs Web basés sur le moteur Chromium, tels que Brave, Edge et Opera, doivent également vérifier les mises à jour, car le même zero-day aura également un impact sur les utilisateurs de ces clients.
