Il y a urgence à mettre à jour Google Chrome

Il y a urgence à mettre à jour Google Chrome


La version 105 du navigateur Google Chrome est disponible depuis mardi, mais Google propose depuis la fin de semaine dernière une mise à jour 105.0.5195.102 pour Windows, macOS et Linux. Elle a pour but de corriger une seule vulnérabilité de sécurité référencée CVE-2022-3075.

Il y a urgence à appliquer cette mise à jour dans la mesure où la vulnérabilité en question fait l’objet d’une exploitation active dans des attaques. Elle a été signalée par un chercheur en sécurité anonyme le 30 août, soit le jour de la publication de la version stable de Google Chrome 105.

Comme à chaque fois dans des circonstances similaires, il faudra attendre un certain niveau de déploiement du correctif de sécurité afin d’en savoir davantage sur la vulnérabilité CVE-2022-3075 et l’exploit en question. Une retenue qui s’explique également par le fait que le bug est susceptible d’exister dans des bibliothèques logicielles tierces d’autres projets.

En lien avec le framework Mojo et Chromium

Pour le moment, il est simplement fait mention d’un problème de validation insuffisante des données dans Mojo. En l’occurrence, le projet Chromium détaille une collection de bibliothèques d’exécution pour faciliter le passage d’un message entre des processus impliqués dans le navigateur. C’est un framework de communication inter-processus.

Le correctif mis au point vise à s’assurer qu’un message de réponse est bien du type attendu par la demande initiale. Ce n’est du reste pas la première fois que ce type de problème impliquant Mojo est corrigé. Par ailleurs, d’autres navigateurs avec socle Chromium vont nécessiter une mise à jour correctrice, ce qui est déjà par exemple le cas avec la version 105 de Microsoft Edge.

Six 0day en 2022 pour Google Chrome

Pour Google Chrome, il s’agit de la sixième vulnérabilité de sécurité 0day depuis le début de cette année, ou autrement dit la correction d’une vulnérabilité déjà activement exploitée dans Chrome avant la disponibilité du patch.

Bugs 0-day dans la nature détectés chaque année

Google a déjà justifié une meilleure efficacité dans la découverte d’attaques de type 0-day, la popularité de Chromium pour en faire une cible de choix des attaquants, une complexité des navigateurs qui implique davantage de bugs.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.