CVE-2022-2294 : Google corrige une faille zero-day dans Chrome
Google a mis à jour son navigateur Google Chrome pour corriger une vulnérabilité zero-day avec une sévérité élevée ! Cette faille de sécurité serait activement exploitée par les cybercriminels.
Associée à la référence CVE-2022-2294, cette faille de sécurité "heap overflow" (c'est-à-dire un type de buffer overflow) se situe dans le composant WebRTC du navigateur. Pour rappel, le composant WebRTC est utilisé pour gérer des flux audio et vidéo en temps réel, sans avoir à installer un plugin additionnel ou un logiciel sur la machine cliente.
La découverte de cette faille de sécurité est à mettre au crédit de Jan Vojtesek de l'équipe Avast Threat Intelligence et elle impacte aussi bien la version desktop qu'Android de Google Chrome. Puisqu'il s'agit d'une zero-day, il n'y a pas beaucoup de détails sur cette vulnérabilité afin d'éviter qu'elle soit encore plus exploitée par les pirates informatiques, le temps qu'un maximum d'utilisateurs effectue la mise à jour. Il est recommandé de mettre à jour dès que possible, car sur le site de Google c'est précisé : "Google est conscient qu'un exploit pour CVE-2022-2294 existe dans la nature.".
Sur Windows, macOS et Linux, si vous utilisez Google Chrome, vous devez mettre à jour votre navigateur vers la version 103.0.5060.114 (ou supérieur), tandis que sur Android il faut utiliser la version 103.0.5060.71 du navigateur. Cette vulnérabilité affecte un composant de Chromium donc les autres navigateurs qui sont basés dessus vont recevoir également un correctif (si ce n'est pas déjà fait), cela concerne notamment Microsoft Edge, Brave ou encore Opera et Vivaldi.
Cette mise à jour de sécurité intègre des correctifs pour quatre failles de sécurité. Depuis le début de l'année 2022, c'est la quatrième faille zero-day corrigée dans Google Chrome par les développeurs de Google. Les précédentes avaient les références suivantes : CVE-2022-0609, CVE-2022-1096 et CVE-2022-1364.
A vous de jouer : à vos mises à jour ! 🙂
