Mettez à jour le navigateur Chrome maintenant pour corriger une nouvelle faille Zero-Day activement exploitée

Google a publié jeudi des mises à jour logicielles pour corriger une autre faille zero-day dans son navigateur Web Chrome. Suivie sous le nom de CVE-2022-4135, la vulnérabilité de haute gravité a été décrite comme un dépassement de mémoire tampon dans le composant GPU. Clement Lecigne du Threat Analysis Group (TAG) de Google a été crédité d’avoir signalé la faille le 22 novembre 2022. Les bogues de dépassement de mémoire tampon basés sur le tas peuvent être exploités par des acteurs malveillants pour planter un programme ou exécuter du code arbitraire, entraînant un comportement involontaire. Selon la base de données nationale des vulnérabilités du NIST, la faille pourrait permettre à un « attaquant distant qui a compromis le processus de rendu d’effectuer potentiellement une sortie de bac à sable via une page HTML spécialement conçue ». « Google est conscient qu’un exploit pour CVE-2022-4135 existe dans la nature », a reconnu le géant de la technologie dans un avis. Mais comme d’autres problèmes activement exploités, les spécificités techniques ont été retenues jusqu’à ce que la majorité des utilisateurs soient mis à jour avec un correctif et pour éviter de nouveaux abus. Avec la dernière mise à jour, Google a résolu huit vulnérabilités zero-day dans Chrome depuis le début de l’année –

• CVE-2022-0609 – Utilisation après-libre dans l’animation
• CVE-2022-1096 – Confusion de type dans la V8
• CVE-2022-1364 – Confusion de type dans la V8
• CVE-2022-2294 – Débordement de mémoire tampon dans WebRTC
• CVE-2022-2856 – Validation insuffisante des entrées non fiables dans les intentions
• CVE-2022-3075 – Validation insuffisante des données dans Mojo
• CVE-2022-3723 – Confusion de type dans V8

Il est recommandé aux utilisateurs de mettre à niveau vers la version 107.0.5304.121 pour macOS et Linux et 107.0.5304.121/.122 pour Windows afin d’atténuer les menaces potentielles. Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs au fur et à mesure de leur disponibilité.