Google a publié Chrome 99.0.4844.84 pour les utilisateurs Windows, Mac et Linux afin de résoudre un bug zero-day de haute gravité exploité dans la nature.
« Google est conscient qu’un exploit pour CVE-2022-1096 existe dans la nature », a déclaré le fournisseur du navigateur dans un conseil en sécurité publié vendredi.
La version 99.0.4844.84 est déjà déployée dans le monde entier dans le canal Stable Desktop, et Google dit que cela pourrait prendre quelques semaines avant qu’elle n’atteigne l’ensemble de la base d’utilisateurs.
Cette mise à jour était disponible immédiatement lorsque EZpublish-france.fr a vérifié les nouvelles mises à jour en allant dans le menu Chrome > Aide > À propos de Google Chrome.
Le navigateur Web vérifiera également automatiquement les nouvelles mises à jour et les installera automatiquement après le prochain lancement.
Les détails de l’exploitation ne sont pas révélés
Le bug zero-day corrigé aujourd’hui (suivi comme CVE-2022-1096) est une sévérité élevée confusion des types faiblesse du moteur JavaScript Chrome V8 signalée par un chercheur en sécurité anonyme.
Alors que les failles de confusion de type entraînent généralement des plantages du navigateur après une exploitation réussie en lisant ou en écrivant de la mémoire hors des limites de la mémoire tampon, les attaquants peuvent également les exploiter pour exécuter du code arbitraire.
Même si Google a déclaré avoir détecté des attaques exploitant ce jour zéro dans la nature, la société n’a pas partagé de détails techniques ni d’informations supplémentaires concernant ces incidents.
« L’accès aux détails des bugs et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google.
« Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés. »
Les utilisateurs de Google Chrome devraient avoir suffisamment de temps pour mettre à jour Chrome et empêcher les tentatives d’exploitation jusqu’à ce que le fournisseur du navigateur publie plus d’informations.
Second Chrome zero-day patché cette année
Avec cette mise à jour, Google a abordé le deuxième jour zéro de Chrome depuis le début de 2022, l’autre (suivi sous le nom de CVE-2022-0609) corrigé le mois dernier.
Le Google Threat Analysis Group (TAG) a révélé que des pirates d’État soutenus par la Corée du Nord avaient exploité le CVE-2022-0609 zero-day des semaines avant le correctif de février. Le premier signe d’exploitation active a été trouvé le 4 janvier 2022.
Le jour zéro a été exploité par deux groupes de menaces distincts soutenus par le gouvernement nord-coréen dans des campagnes poussant des logiciels malveillants via des e-mails de phishing utilisant de faux leurres d’emploi et des sites Web compromis hébergeant des iframes cachés pour servir un kit d’exploit.
« Les e-mails contenaient des liens usurpant des sites Web légitimes de recherche d’emploi comme Indeed et ZipRecruiter », ont expliqué les chercheurs.
« Dans d’autres cas, nous avons observé de faux sites Web – déjà configurés pour distribuer des applications de crypto-monnaie trojanisées – hébergeant des iframes et pointant leurs visiteurs vers le kit d’exploitation. »