Google a conseillé aux utilisateurs de Chrome de mettre à jour le navigateur Web vers la dernière version afin d’éviter d’être la cible de cybercriminels.
À la fin de la semaine dernière, la société a publié Chrome 99.0.4844.84 pour Windows, Mac et Linux, qui corrige une vulnérabilité zero-day de haute gravité qui permet l’exécution de code à distance.
Dans un avis publié parallèlement à la mise à jour, la société a expliqué que le problème avait déjà été abusé dans des scénarios réels. « Google est conscient qu’un exploit pour CVE-2022-1096 existe dans la nature », a écrit la firme.
Le jour zéro de Google Chrome
Suivie sous le nom de CVE-2022-1096, la vulnérabilité de Google Chrome est décrite comme une faiblesse de confusion dans le moteur JavaScript Chrome V8.
Il permet à un attaquant de planter le navigateur et d’exécuter du code arbitraire, ce qui signifie qu’il pourrait être utilisé à mauvais escient pour des attaques par déni de service ou pour infecter des appareils avec des logiciels malveillants et des rançongiciels.
Parce que la faille est exploitée à l’état sauvage, Google retient délibérément des informations supplémentaires jusqu’à ce que les utilisateurs soient en mesure de réparer leurs systèmes.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google. « Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’ont pas encore été corrigés. »
Le correctif est déjà disponible, mais cela pourrait prendre des semaines avant qu’il n’atteigne tous les utilisateurs de Chrome, selon Google. Quiconque cherche à vérifier si son client a été mis à jour automatiquement peut le faire via le menu Chrome > Aide > À propos de Google Chrome, qui mène à une page qui révèle le numéro de version actuel et répertorie toutes les mises à jour disponibles.
Il s’agit du deuxième zero-day trouvé et corrigé dans Chrome depuis le début de l’année, suite à la découverte de CVE-2022-0609. Google décrit cette vulnérabilité comme une « utilisation après la gratuité dans l’animation », mais n’a pas donné beaucoup de détails sur ce que cela implique ou sur l’extrême risque.
La société affirme que les défauts sont abusés dans la nature, mais a refusé de partager des détails sur la manière dont ils sont abusés ou par qui. Il est difficile de dire si un malware a été développé pour exploiter la faille, et s’il sera ou non détecté par les solutions antivirus.
Via BleepingComputer