Dans le cadre d’une publication en urgence, Google propose une mise à jour de son navigateur Google Chrome. Elle a pour but de corriger une seule et unique vulnérabilité de sécurité qui fait l’objet d’une exploitation active.
C’est ainsi le schéma d’une vulnérabilité 0-day (ou zero-day) qui n’avait pas été divulguée précédemment et pour laquelle il a été repéré une attaque avant la disponibilité d’un correctif. Elle est référencée CVE-2022-4135.
Comme à l’accoutumée, Google va attendre un certain seuil de déploiement du patch de sécurité avant de proposer plus de détails sur cette vulnérabilité et le code d’exploitation qui se balade dans la nature.
Quelques indices sur l’urgence
Les informations sur la vulnérabilité CVE-2022-4135 sont maigres pour le moment, sachant par ailleurs qu’elle a été signalée par un chercheur en sécurité du Threat Analysis Group de Google le mardi 22 novembre. Il est fait mention d’un bug de sécurité entraînant un heap buffer overflow dans le GPU.
Il s’agit donc d’une vulnérabilité de dépassement de tas. D’après la National Vulnerability Database du National Institute of Standards and Technology des États-Unis, un attaquant distant ayant compromis le processus de rendu peut potentiellement s’échapper de la protection sandbox via une page HTML spécialement conçue.
Huit 0-day pour Chrome en 2022
Les versions antérieures à la nouvelle mouture 107.0.5304.121/122 pour Windows et 107.0.5304.121 pour Mac et Linux sont vulnérables. Une mise à jour peut être sollicitée manuellement sans attendre depuis les paramètres et À propos de Chrome.
C’est la huitième vulnérabilité 0-day qui touche Google Chrome pour cette année 2022. La septième avait été signalée à la fin du mois dernier. Manifestement, il va falloir s’habituer à ce type d’alerte.