Actus

Google corrige la nouvelle faille zero-day de Chrome exploitée dans des attaques

Par hfrance , le 6 juillet 2022 , mis à jour le 6 juillet 2022 - 3 minutes de lecture
5/5 - (1 vote)

Google a publié Chrome 103.0.5060.114 pour les utilisateurs de Windows afin de corriger une vulnérabilité de type “zero-day” de haute gravité exploitée par des attaquants dans la nature. Il s’agit du quatrième “zero-day” de Chrome corrigé en 2022.

“Google est conscient qu’un exploit pour CVE-2022-2294 existe dans la nature”, explique l’éditeur du navigateur dans un avis de sécurité publié lundi.

La version 103.0.5060.114 est déployée dans le monde entier dans le canal Stable Desktop, Google précisant que ce n’est qu’une question de jours ou de semaines avant qu’elle n’atteigne l’ensemble des utilisateurs.

Le navigateur Web vérifiera également automatiquement la présence de nouvelles mises à jour et les installera automatiquement après le prochain lancement.

Google Chrome 103.0.5060.114

Les détails de l’attaque ne sont pas révélés

Le bogue de jour zéro corrigé aujourd’hui (suivi sous le nom de CVE-2022-2294) est un débordement de tampon de haute gravité basé sur le tas dans le composant WebRTC (Web Real-Time Communications), signalé par Jan Vojtesek de l’équipe Avast Threat Intelligence le vendredi 1er juillet.

L’impact d’une exploitation réussie d’un débordement de tas peut aller du plantage du programme et de l’exécution de code arbitraire au contournement des solutions de sécurité si l’exécution de code est réalisée pendant l’attaque.

Bien que Google affirme que cette vulnérabilité de type “zero-day” a été exploitée dans la nature, l’entreprise n’a pas encore communiqué de détails techniques ou d’informations concernant ces incidents.

“L’accès aux détails et aux liens relatifs aux bogues peut être restreint jusqu’à ce que la majorité des utilisateurs aient reçu un correctif”, a déclaré Google.

“Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de manière similaire, mais qui n’a pas encore été corrigée.”

Avec cette publication retardée de plus d’informations sur les attaques, les utilisateurs de Chrome devraient avoir suffisamment de temps pour mettre à jour et prévenir les tentatives d’exploitation jusqu’à ce que Google fournisse des détails supplémentaires.

Quatrième faille de type zéro day de Chome corrigé cette année

Avec cette mise à jour, Google a corrigé le quatrième jour zéro de Chrome depuis le début de l’année.

Les trois précédentes vulnérabilités zero-day découvertes et corrigées en 2022 sont les suivantes :

  • CVE-2022-1364 – 14 avril 2010
  • CVE-2022-1096 – 25 mars
  • CVE-2022-0609 – 14 février

Celle corrigée en février, CVE-2022-0609, a été exploitée par des pirates d’État soutenus par la Corée du Nord quelques semaines avant le correctif de février, selon le groupe d’analyse des menaces (TAG) de Google. Les premiers signes d’exploitation dans la nature ont été découverts le 4 janvier 2022.

Il a été exploité par deux groupes de menaces parrainés par la Corée du Nord dans des campagnes de diffusion de logiciels malveillants par le biais d’e-mails de phishing utilisant des offres d’emploi fictives et des sites Web compromis hébergeant des iframes cachées pour diffuser des kits d’exploitation.

Étant donné que le jour zéro corrigé aujourd’hui est connu pour avoir été utilisé par des attaquants dans la nature, il est fortement recommandé d’installer la mise à jour de Google Chrome d’aujourd’hui dès que possible.

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.