Google a publié une mise à jour pour une vulnérabilité zero-day de haute gravité, connue sous le nom de CVE-2022-4135, qui affecte son navigateur Chrome.
Le géant de la recherche a déclaré qu’un exploit pour la vulnérabilité, détecté par le chercheur français en sécurité Clément Lecigne, existe dans la nature, ce qui signifie que les utilisateurs pourraient être en danger.
Google a déclaré qu’il ne divulguerait pas beaucoup d’informations sur la nature de la vulnérabilité « jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif » et qu’il « conservera également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière ». activé, mais n’a pas encore été corrigé ».
Alors, que savons-nous?
Google a pu révéler que la vulnérabilité était un exemple de ce qu’on appelle un « débordement de tampon de tas », une variété de débordement de tampon où un tampon vulnérable à l’écrasement est situé dans la partie « tas » de la mémoire du système.
En divulguer davantage pourrait « avertir » les mauvais acteurs de la vulnérabilité avant que la grande majorité des utilisateurs de Google Chrome ne soient entièrement corrigés.
Les utilisateurs qui souhaitent éviter le risque d’être impactés sont invités à mettre à jour vers 107.0.5304.121 pour Mac et Linux et 107.0.5304.121/.122 pour Windows, qui sont tous deux des ensembles qui seront déployés au cours des prochains jours et semaines.
Le navigateur phare de Google, Chrome, a certainement accumulé un nombre stable de vulnérabilités de sécurité ces dernières années.
Le navigateur détient actuellement environ 66% de part de marché selon les données de StatCounter (s’ouvre dans un nouvel onglet)et a eu 303 vulnérabilités découvertes entre le 1er janvier 2022 et le 5 octobre 2022 selon les données de
En revanche, Safari n’avait que 26 vulnérabilités révélées au cours de la même période, tandis que Microsoft Edge avait 103 vulnérabilités, et Mozilla Firefox est arrivé en deuxième position avec 117 vulnérabilités.
Cela inclut une vulnérabilité zero-day appelée CVE-2022-3723 découverte plus tôt ce mois-ci, qui représentait apparemment une « faute de confusion de type » qui a eu un impact sur le moteur JavaScript V8 de Chrome.
Selon un rapport de la société de cybersécurité Avertium, la vulnérabilité aurait potentiellement permis à de mauvais acteurs de duper Chrome pour qu’il exécute des logiciels malveillants malins.