En début de semaine, Google a publié la version 107 de son navigateur Chrome considéré comme le plus populaire au monde. Cette mouture apporte notamment le support officiel du format de compression vidéo HEVC / H.265, avec l’activation par défaut du décodage matériel.
La version 107 de Google Chrome corrige également 14 vulnérabilités de sécurité, mais une mise à jour de maintenance est d’ores et déjà nécessaire afin de corriger une autre faille. La mise à jour Chrome porte le numéro 107.0.5304.87 ou 107.0.5304.88 en fonction de la plateforme hôte sur ordinateur.
C’est une publication en urgence qui est légitimée par le fait que la vulnérabilité en question fait l’objet d’une exploitation active. » Google a été informé qu’un exploit pour CVE-2022-3723 existe dans la nature. » Il s’agit ainsi d’une vulnérabilité 0-day dans la mesure où des attaques ont été repérées alors qu’un correctif n’était pas disponible.
Pour le moteur JavaScript V8
Comme à chaque fois dans de telles circonstances, Google va attendre un certain seuil de déploiement du patch de sécurité avant de divulguer davantage de détails sur cette vulnérabilité CVE-2022-3723 et l’exploit en rapport.
Cette retenue est aussi justifiée par le fait que le bug de sécurité est susceptible d’exister dans des bibliothèques logicielles tierces d’autres projets, sans avoir encore été corrigé.
Un élément communiqué est que la faille est de confusion de type dans V8 qui est le moteur JavaScript. Avec ce genre de vulnérabilité, il y a un risque d’accès à des emplacements mémoire sensibles pour l’exécution d’un code malveillant. Un niveau de dangerosité élevé est attribué, mais le bug peut potentiellement faire partie d’une chaîne d’attaque.
Deuxième 0-day de 2022 signalée par Avast
La vulnérabilité CVE-2022-3723 a été signalée à Google le mardi 25 octobre… soit le jour de la publication de la version 107 de Chrome. La mise au point d’un correctif n’a donc pas traîné. Le signalement est attribué à des chercheurs en sécurité d’Avast.
Pour 2022 et avec Google Chrome, il s’agit de la septième vulnérabilité de sécurité 0day. La découverte de la quatrième de l’année (CVE-2022-2294 ; affectant WebRTC et d’autres navigateurs) avait également été attribuée à des chercheurs d’Avast.
Dans le cas de CVE-2022-2294, un lien avait été établi avec une campagne de cyberespionnage ciblé et un logiciel espion commercialisé par la société israélienne Candiru.