Google a publié une mise à jour de sécurité pour son navigateur Google Chrome sur Windows, Mac et Linux afin de corriger dix failles de sécurité, dont certaines pourraient permettre à des attaquants de faire tomber les systèmes vulnérables à distance.
Google a détaillé certains des correctifs dans une article sur la mise à jour de Google Chrome.
Au total, la dernière mise à jour de Google Chrome comprend 10 mises à jour de sécurité – qui sont également disponibles pour Google Chrome sur les appareils mobiles, sauf indication contraire. Six de ces mises à jour ont été classées comme étant de « haute gravité ». Cela signifie que les mises à jour doivent être appliquées dès que possible.
« heap corrupt »
Les vulnérabilités pourraient permettre à un attaquant distant d’exploiter une « heap corrupt » via une page HTML. La corruption affecte le « heap », une zone de mémoire informatique pré-réservée qu’un programme utilise pour stocker une quantité variable de données.Cette corruption peut entraîner un défaut de mémoire au point de provoquer un crash.
CVE-2022-3885 est une vulnérabilité dans V8, le moteur JavaScript open-source développé par le projet Chromium pour les navigateurs web Google Chrome et Chromium, qui pourrait provoquer cette heap corruption du tas, tandis que CVE-2022-3886 est une vulnérabilité dans la reconnaissance vocale dans Google Chrome qui peut être exploitée pour le même effet.
CVE-2022-3887 est une vulnérabilité dans Web Workers, qui est utilisé dans Google Chrome pour exécuter des scripts en arrière-plan sans interférer avec l’interface utilisateur. CVE-2022-3888 est une vulnérabilité dans WebCodecs dans Google Chrome, qui est utilisé pour fournir un accès de bas niveau aux encodeurs et décodeurs de médias.
7 000 à 21 000 dollars de primes de bug versées
Parallèlement, CVE-2022-3889 est une vulnérabilité dans V8, fournissant au programme un code erroné. Chacune de ces vulnérabilités peut permettre aux attaquants d’exploiter des failles de corruption de chaleur.
La dernière vulnérabilité à avoir été répertoriée publiquement est la CVE-2022-3890, un débordement de tampon dans Crashpad de Google Chrome sur Android, qui pourrait permettre à un attaquant distant de s’échapper de la sandbox, ce qui pourrait lui permettre d’élever ses privilèges dans tout un environnement hôte.
« Nous tenons également à remercier tous les chercheurs en sécurité qui ont travaillé avec nous pendant le cycle de développement afin d’éviter que des bogues de sécurité n’atteignent jamais le canal stable », a déclaré Google, qui a versé des primes de bogues allant de 7 000 à 21 000 dollars aux chercheurs qui les ont découverts.
Il est recommandé aux utilisateurs d’appliquer le correctif de sécurité Google Chrome 107.0.5304.110 pour Mac et Linux et 107.0.5304.106/.107 pour Windows dès qu’il sera disponible, afin de protéger les systèmes contre les attaques potentielles.
Source : « ZDNet.com »