Mettez à jour le navigateur Google Chrome immédiatement pour corriger la nouvelle vulnérabilité zero-day

Google a déployé lundi une mise à jour de sécurité pour son navigateur Chrome, qui corrige des problèmes de sécurité, de stabilité et de performance, y compris une vulnérabilité zero-day. Le problème affecte Chrome sur Windows, Mac et Android.

Chrome pour Windows a été mis à jour vers la version 103.0.5060.114, qui inclut quatre correctifs de sécurité, dont trois ont été soulignés par Google et ont été contribué par des chercheurs externes :

• Haute CVE-2022-2294 : Débordement de tampon dans WebRTC. Signalé par Jan Vojtesek de l’équipe Avast Threat Intelligence le 2022-07-01

• Haute CVE-2022-2295 : Confusion de type dans V8. Signalé par avaue et Buff3tts chez S.S.L. le 2022-06-16

• Haute CVE-2022-2296 : Utilisation après libération dans Chrome OS Shell. Signalé par Khalil Zhani le 2022-05-19

La vulnérabilité de haute sévérité (CVE-2022-2294) est un bug de débordement de tampon, qui existe dans WebRTC, le moteur qui donne au navigateur sa capacité de communication en temps réel. Si elle est exploitée, cette vulnérabilité peut permettre des attaques par déni de service ou, dans certains cas, l’exécution de code arbitraire sur votre bureau, ce qui a le potentiel de donner aux hackers un accès complet à votre PC.

« Google est conscient qu’un exploit pour CVE-2022-2294 existe dans la nature », selon l’avis de sécurité de Google de lundi pour Windows. « Le canal Stable a été mis à jour vers 103.0.5060.114 pour Windows, qui sera déployé au cours des prochains jours/semaines. »

Google indique qu’il ne révèle pas les détails sur les exploits ou les vulnérabilités tant qu’une majorité d’utilisateurs n’a pas été mise à jour avec un correctif. Il pourrait également maintenir des restrictions si le bug existe dans une bibliothèque tierce dont d’autres projets dépendent également, mais qui n’ont pas encore été corrigés.

En plus de corriger la vulnérabilité de débordement de tampon zero-day, Google a également publié lundi un correctif pour corriger deux autres défauts de haute sévérité, qui incluent un bug de confusion de type dans le moteur JavaScript V8 suivi comme CVE-2022-2295 et un défaut d’utilisation après libération dans Chrome OS Shell suivi comme CVE-2022-2296.

En plus de Chrome pour Windows, les correctifs ont également été publiés dans Chrome pour Android version 103.0.5060.71 pour CVE-2022-2294 et CVE-2022-2295. De plus, le canal Chrome Extended Stable a été mis à jour vers 102.0.5005.148 pour Windows et Mac pour corriger CVE-2022-2294.

Si vous êtes un utilisateur de Chrome sur Windows ou Mac, il est recommandé de mettre à jour votre navigateur dès que possible. Pour vérifier si une mise à jour est disponible pour vous, vous pouvez cliquer sur le menu à trois points en haut à droite de votre fenêtre Chrome et aller à Menu Chrome > Aide > À propos de Google Chrome ou ouvrir la page Chrome en tapant chrome://settings/help dans votre navigateur.

Avec cette mise à jour, Google a corrigé la quatrième vulnérabilité zero-day de Chrome en 2022, qui inclut une en février (CVE-2022-0609), mars (CVE-2022-1096) et avril (CVE-2022-1364).