Google Chrome 104 : 12 vulnérabilités corrigées, dont une faille zero-day exploitée !
Google a publié une mise à jour de sécurité pour son navigateur Chrome dans le but de corriger une faille zero-day exploitée par les cybercriminels. Au total, cette mise à jour de sécurité corrige 12 vulnérabilités.
Cette année, il s'agit de la 5ème faille zero-day exploitée dans la nature corrigée dans Google Chrome. Cette fois-ci, la vulnérabilité est identifiée avec la référence CVE-2022-2856 et elle est dû à une "validation insuffisante des entrées non approuvées dans Intents", une fonctionnalité intégrée dans le navigateur qui permet de lancer des applications et des services Web directement depuis une page Web. A cause de cette mauvaise gestion des entrées dans cette fonction, une attaque qui exploite cette faille de sécurité peut entraîner un dépassement de tampon, une attaque directory transversal, une injection SQL, etc.
La vulnérabilité a été découverte par Ashley Shen et Christian Resell, tous les deux membres de Google Threat Analysis Group. Dans son bulletin de sécurité, l'entreprise américaine précise "Google est conscient qu'un exploit pour la CVE-2022-2856 existe dans la nature."
Cette nouvelle mise à jour de sécurité à destination de Chrome s'applique à Windows, Mac et Linux, et elle est actuellement en cours de déploiement sur les navigateurs où les mises à jour automatiques sont activées. Chrome passe en version 104.0.5112.101 (ou 104.0.5112.102, selon le système) suite à l'installation de la mise à jour de sécurité.
Pour rappel, voici les quatre failles de sécurité zero-day exploitées par des pirates informatiques et corrigées en 2022 par Google :
- CVE-2022-2294 - 4 Juillet
- CVE-2022-1364 - 14 avril
- CVE-2022-1096 - 25 mars
- CVE-2022-0609 - 14 février (exploité par des pirates nord-coréens dans des campagnes de phishing)
Pour mettre à jour le navigateur, ouvrez le menu principal en haut à droite, puis sous "Aide" cliquez sur "A propos de Google Chrome". Le navigateur va rechercher et installer la dernière mise à jour disponible.
A vos mises à jour !