Google a publié Chrome 100.0.4896.127 pour Windows, Mac et Linux, afin de corriger une vulnérabilité zero-day de haute gravité activement utilisée par les acteurs de la menace dans les attaques.
« Google est conscient qu’un exploit pour CVE-2022-1364 existe dans la nature », a déclaré Google dans un conseil en sécurité publié aujourd’hui.
Alors que Google indique que cette mise à jour de Chrome sera déployée dans les prochaines semaines, les utilisateurs peuvent la recevoir immédiatement en allant dans le menu Chrome > Aide > À propos de Google Chrome.
Le navigateur recherchera également automatiquement les nouvelles mises à jour et les installera la prochaine fois que vous fermerez et relancerez Google Chrome.
Comme ce bug est activement exploité dans les attaques, il est fortement conseillé d’effectuer une vérification manuelle des nouvelles mises à jour et de relancer le navigateur pour les appliquer.
Peu de détails divulgués
Le bug zero-day corrigé aujourd’hui est suivi comme CVE-2022-1364 et est d’une gravité élevée confusion des types faiblesse du moteur JavaScript Chrome V8.
Alors que les failles de confusion de type entraînent généralement des plantages du navigateur après une exploitation réussie en lisant ou en écrivant de la mémoire hors des limites de la mémoire tampon, les attaquants peuvent également les exploiter pour exécuter du code arbitraire.
Cette vulnérabilité a été découverte par Clément Lecigne du Threat Analysis Group de Google qui l’a signalé à l’équipe Google Chrome hier.
Bien que Google ait déclaré avoir détecté des attaques exploitant ce jour zéro, il n’a pas fourni plus de détails sur la manière dont ces attaques sont menées.
« L’accès aux détails des bugs et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a ajouté Google.
Il s’agit de la seule vulnérabilité divulguée dans cette mise à jour, indiquant que Chrome 100.0.4896.127 a été publié en tant que mise à jour d’urgence pour résoudre ce problème.
Troisième jour zéro Chome corrigé cette année
Avec cette mise à jour, Google a abordé le troisième jour zéro de Chrome depuis le début de 2022.
Les deux vulnérabilités précédentes trouvées en 2022 sont répertoriées ci-dessous.
Comme ce zero-day est connu pour être utilisé dans les attaques, il est fortement conseillé de mettre à jour Google Chrome dès que possible.