Google a publié une mise à jour de sécurité pour le navigateur Chrome sur Windows, Mac et Linux, afin de corriger une vulnérabilité de type « zero-day » récemment découverte et exploitée activement dans le cadre de cyberattaques. Les utilisateurs sont invités à appliquer cette mise à jour dès que possible.
La mise à jourvers la version 105.0.5195.102 de Google Chrome corrige un problème de sécurité de haute gravité (CVE-2022-307) lié à une validation insuffisante des données dans Mojo, une collection de bibliothèques d’exécution utilisées dans Chromium, qui alimente une grande partie du code derrière le navigateur Google Chrome.
Google précise avoir reçu des rapports indiquant que la faille de sécurité était activement exploitée.
Communication prudente
Le correctif de sécurité devrait être déployé auprès des utilisateurs dans les jours et semaines à venir. Les utilisateurs sont invités à appliquer la mise à jour lorsque Chrome le leur demande.
Google a préféré rester discret sur ce qu’il contient, préférant « restreindre l’accès aux détails et aux liens relatifs aux vulnérabilités jusqu’à ce que la majorité des utilisateurs aient reçu le correctif ».
Le choix de Google s’explique notamment par des raisons de sécurité, les informations relatives à la vulnérabilité pouvant être exploitées par des cybercriminels.
Le Singapore Computer Emergency Response Team (SingCERT) conseille aux utilisateurs « d’installer immédiatement les dernières mises à jour de sécurité » et les encourage à « activer la fonction de mise à jour automatique dans Chrome pour s’assurer que leurs logiciels sont mis à jour rapidement ».
Bug bounty
La vulnérabilité a été soumise anonymement à Google par un chercheur en cybersécurité dont l’identité n’a pas été révélée et qui recevra une prime de bug dont le montant reste à déterminer.
« Nous tenons également à remercier tous les chercheurs en sécurité qui ont travaillé avec nous pendant le cycle de développement afin d’éviter que les failles de sécurité atteignent le canal stable », fait valoir Google.
Pour tous les logiciels et applications, appliquer les mises à jour de sécurité dès qu’elles sont disponibles est l’une des principales mesures pour se protéger des cyberattaques, pour les particuliers comme pour les organisations.
Source : ZDNet.com