Quelques jours après que Google a corrigé un bogue de haute gravité qui était exploité à l’état sauvage, Microsoft a fait de même pour Edge.
Suivie sous le nom de CVE-2022-2294, la faille est présente dans le moteur du navigateur Chromium, ce qui signifie que Chrome et Edge sont affectés.
En plus de révéler que le jour zéro est exploité à l’état sauvage, Google a gardé les détails pour lui. Cela donnera probablement aux utilisateurs suffisamment de temps pour corriger (s’ouvre dans un nouvel onglet) leurs terminaux, et pour éviter de fournir aux acteurs de la menace des munitions pour de nouvelles attaques.
Jour zéro connu
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google. « Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés. »
Nous savons que la faille est une faiblesse de débordement de mémoire tampon de haute gravité, découverte par Jan Vojtesek d’Avast, dans le composant WebRTC (Web Real-Time Communications).
Dans le même ordre d’idées, Microsoft a également décidé de rester discret. « Cette mise à jour contient un correctif pour CVE-2022-2294, qui a été signalé par l’équipe Chromium comme ayant un exploit dans la nature », a déclaré la société dans le journal des correctifs.
La version Edge qui a comblé le trou est 103.0.1264.48, et les utilisateurs sont invités à mettre à jour immédiatement, au cas où le navigateur ne le ferait pas automatiquement.
Pour vous assurer que vous utilisez la dernière version du navigateur, ouvrez le menu et accédez à Aide et commentaires > À propos de Microsoft Edge.
Via Néowin (s’ouvre dans un nouvel onglet)