Google a publié vendredi une mise à jour de sécurité hors bande pour résoudre une vulnérabilité de gravité élevée dans son navigateur Chrome qui, selon lui, est activement exploitée dans la nature.

Suivie sous le nom de CVE-2022-1096, la faille zero-day est liée à une vulnérabilité de confusion de type dans le moteur JavaScript V8. Un chercheur anonyme a été crédité d’avoir signalé le bogue le 23 mars 2022.

Les erreurs de confusion de type, qui surviennent lorsqu’une ressource (par exemple, une variable ou un objet) est accédée à l’aide d’un type incompatible avec ce qui a été initialisé à l’origine, peuvent avoir de graves conséquences dans les langages qui ne sont pas sécurisés en mémoire comme C et C++, permettant un programme malveillant acteur pour effectuer un accès mémoire hors limites.

« Lorsqu’un tampon mémoire est accédé en utilisant le mauvais type, il peut lire ou écrire de la mémoire en dehors des limites du tampon, si le tampon alloué est plus petit que le type auquel le code tente d’accéder, entraînant un plantage et éventuellement du code exécution », explique le Common Weakness Enumeration (CWE) de MITRE.

Le géant de la technologie a reconnu qu’il était « conscient qu’un exploit pour CVE-2022-1096 existe dans la nature », mais s’est abstenu de partager des détails supplémentaires afin d’empêcher une exploitation ultérieure et jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif.

CVE-2022-1096 est la deuxième vulnérabilité zero-day corrigée par Google dans Chrome depuis le début de l’année, la première étant CVE-2022-0609, une vulnérabilité d’utilisation après libération dans le composant Animation qui a été corrigée le 14 février. , 2022.

Plus tôt cette semaine, le groupe d’analyse des menaces (TAG) de Google a divulgué les détails d’une double campagne organisée par des groupes d’États-nations nord-coréens qui ont militarisé la faille pour frapper des organisations basées aux États-Unis couvrant les secteurs des médias, de l’informatique, de la crypto-monnaie et de la fintech.

Il est fortement recommandé aux utilisateurs de Google Chrome de mettre à jour vers la dernière version 99.0.4844.84 pour Windows, Mac et Linux afin d’atténuer toute menace potentielle. Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Opera et Vivaldi d’appliquer les correctifs au fur et à mesure de leur disponibilité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *