Suite à la sortie de la version 100 de son navigateur, Google a publié une nouvelle mise à jour pour Chrome afin de corriger une vulnérabilité zero-day de haute gravité qui est activement exploitée dans la nature.
Selon un nouvel avis de sécurité publié par le géant de la recherche, la société est consciente qu’un exploit existe pour cette vulnérabilité de haute gravité identifiée comme CVE-2022-1364.
Le bogue lui-même est une faiblesse de confusion dans le moteur JavaScript Chrome V8 et bien que ces types de vulnérabilités entraînent généralement des plantages du navigateur après avoir lu ou écrit de la mémoire hors des limites de la mémoire tampon, les cybercriminels peuvent également les exploiter pour exécuter du code arbitraire sur des systèmes vulnérables.
La vulnérabilité a été découverte par Clément Lecigné du groupe d’analyse des menaces de Google qui l’a immédiatement signalé à l’équipe Google Chrome. Bien que Google ait observé que ce zero-day était activement exploité dans la nature, la société a été muette concernant toute attaque. Dans son avis de sécurité, il a déclaré que les détails sur le bogue et les liens seront « maintenus restreints jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif ».
La mise à jour manuelle de Chrome est votre pari
Google Chrome 100.0.4896.127 pour Windows, Mac et Linux sera déployé dans les prochaines semaines sous forme de mise à jour.
Cependant, en raison de la gravité élevée de cette vulnérabilité, les utilisateurs soucieux de la sécurité peuvent mettre à jour Chrome immédiatement en accédant au menu Chrome, rubrique Aider et en cliquant sur À propos de Google Chrome. Ici, ils pourront installer manuellement la mise à jour eux-mêmes au lieu d’attendre que Google la déploie.
Pour ceux qui préfèrent attendre, Chrome vérifiera automatiquement les nouvelles mises à jour et les installera la prochaine fois que vous fermerez et relancerez le navigateur.
Il s’agit de la troisième vulnérabilité zero-day découverte et corrigée dans Chrome cette année.
Via BleepingComputer