Google corrige une faille Zero-Day de Chrome activement exploitée qui affecte des milliards de personnes, mettez à jour dès que possible.
Source : Pc-boost.com
Publié le : mercredi 6 juillet 2022 à 06:32
Google corrige une faille Zero-Day de Chrome activement exploitée qui affecte des milliards de personnes, mettez à jour dès que possible. Chrome est le navigateur le plus populaire de la planète (en termes de parts de marché), avec des milliards d'utilisateurs, et cette immense popularité dans l'espace technologique a pour effet secondaire indésirable d'attirer les mauvais acteurs. C'est la raison pour laquelle la dernière mise à jour du navigateur est accompagnée d'un avertissement de Google indiquant que l'une des mises à jour de sécurité incluses dans le correctif corrige une faille de type "zero-day" qui est activement exploitée dans la nature. Cela signifie que la faille, si elle n'est pas corrigée, n'est pas une menace théorique, mais une menace ciblée par les mauvais acteurs. Lorsque c'est le cas, il est préférable d'appliquer le correctif de sécurité le plus tôt possible. Même si aucun incident d'exploitation d'un jour zéro n'a été détecté, il est toujours préférable d'appliquer un correctif, si possible. La faille en question est répertoriée sous le nom de CVE-2022-2294 et son niveau de sécurité est élevé. Elle est décrite comme un exploit de type "débordement de tampon de tas dans WebRTC". Le composant gratuit et open-source Web Real-Time Communications (WebRTC) de Chrome permet aux communications vidéo et vocales de fonctionner à l'intérieur des pages Web en utilisant une couche API JavaScript, et sans avoir à installer de plugins. Google ne donne pas encore de détails sur cette journée zero-day, car sa politique est d'attendre que la majorité des utilisateurs aient eu l'occasion d'appliquer le correctif avant de donner des détails sanglants. D'une manière générale, cependant, ces types de failles peuvent entraîner des pannes ou pire encore. "Les dépassements de tampon peuvent souvent être utilisés pour exécuter du code arbitraire, ce qui est généralement en dehors de la portée de la politique de sécurité implicite d'un programme. Outre les données importantes de l'utilisateur, les débordements basés sur le tas peuvent être utilisés pour écraser les pointeurs de fonction qui peuvent vivre dans la mémoire, en la dirigeant vers le code de l'attaquant", explique MITRE. Le dernier correctif de Google cible également deux autres failles de sécurité, toutes deux classées dans la catégorie de gravité élevée. Il s'agit de CVE-2022-2259 (confusion de type dans V8) et de CVE-2022-2296 (User after free dans Chrome OS Shell). Vous pouvez attendre que Chrome se mette à jour automatiquement, mais nous vous recommandons de forcer le processus. Pour ce faire, cliquez sur les trois points verticaux dans le coin supérieur droit, puis accédez à Aide > À propos de Google Chrome. Le dernier correctif de Chrome (au moment de la rédaction de cet article) met à jour le navigateur avec la version 103.0.5060.66. HOTHARDWARE