La nouvelle version 108 du navigateur Chrome est toute fraîche, mais Google la complète avec la publication d’une mise à jour en urgence. Estampillée 108.0.5359.94/.95 pour Windows, 108.0.5359.94 pour Mac et Linux, ainsi que 108.0.5359.79 pour Android, elle a pour but de corriger une seule vulnérabilité de sécurité.
Référencée CVE-2022-4262, la vulnérabilité fait l’objet d’une exploitation active. Elle a été signalée alors qu’un exploit a été repéré dans la nature et qu’il n’y avait pas de correctif mis à disposition. Cela lui vaut une qualification de vulnérabilité 0-day ou zero-day.
Une vulnérabilité signalée le 29 novembre
Cette vulnérabilité de sécurité est présentée comme une confusion de type dans le moteur JavaScript V8 de Chrome. Selon la National Vulnerability Database du National Institute of Standards and Technology des États-Unis, elle permet à un attaquant d’exploiter potentiellement une corruption de tas via une page HTML spécialement conçue.
Google va attendre un certain niveau de déploiement du correctif de sécurité avant de publier de plus amples détails sur la vulnérabilité et le code d’exploitation. La vulnérabilité a été signalée par un chercheur en sécurité du Threat Analysis Group de Google le 29 novembre. L’annonce d’un patch date du 2 décembre.
Neuvième vulnérabilité 0-day pour 2022
Pour Google Chrome, il s’agit de la neuvième vulnérabilité 0-day dans le courant de cette année 2022. Parmi celles-ci, la vulnérabilité CVE-2022-4262 est la quatrième faille de confusion de type activement exploitée.
Sur ordinateur, une mise à jour peut être sollicitée manuellement sans attendre depuis les paramètres du navigateur et À propos de Chrome. La mise à jour correctrice pour Android doit arriver rapidement dans le Google Play Store.
Avec les autres navigateurs à base Chromium, une mise à jour afin de combler la vulnérabilité CVE-2022-4262 devrait logiquement faire également son apparition.