Google a publié une mise à jour pour une vulnérabilité zero-day de haute importance, connue sous le nom de CVE-2022-4135, qui affecte son navigateur Chrome.
Le géant de la recherche Internet a déclaré qu'un exploit (ou code d'exploitation) pour cette vulnérabilité, détecté par le chercheur en sécurité français Clément Lecigne, se trouve dans la nature, ce qui signifie que les utilisateurs pourraient être en danger.
Google a déclaré qu'il ne divulguerait pas beaucoup d'informations sur la nature de la vulnérabilité "tant que la majorité des utilisateurs n'auront pas reçu un correctif" et qu'il "maintiendra également des restrictions si le bug est identifié dans une bibliothèque tierce dont d'autres projets dépendent également, mais qui n'a pas encore été corrigée".
Alors, que savons-nous ?
Google a pu révéler que la vulnérabilité était un exemple de ce que l'on appelle un "débordement de mémoire tampon", où un tampon qui est vulnérable à l'écrasement est situé dans la partie "cache" de la mémoire du système.
Le fait de divulguer davantage cette vulnérabilité pourrait "mettre la puce à l'oreille" des cybercriminels avant que la grande majorité des utilisateurs de Google Chrome ne disposent d'un correctif complet.
Les utilisateurs qui veulent éviter d'être touchés sont invités à effectuer une mise à jour vers la version 107.0.5304.121 pour Mac et Linux et 107.0.5304.121/.122 pour Windows, deux ensembles qui seront déployés dans les jours et semaines à venir.
Le navigateur phare de Google, Chrome, a certainement accumulé un nombre important de failles de sécurité ces dernières années.
Le navigateur détient actuellement environ 66 % de parts de marché, selon les données de StatCounter, et 303 vulnérabilités ont été décelées entre le 1er janvier 2022 et le 5 octobre 2022, selon les données de l'Agence européenne pour la sécurité maritime.
En revanche, Safari n'a eu que 26 vulnérabilités révélées au cours de la même période, tandis que Microsoft Edge a eu 103 vulnérabilités, et Mozilla Firefox est arrivé en deuxième position avec 117 vulnérabilités.
Il s'agit notamment d'une vulnérabilité de type "zero-day" appelée CVE-2022-3723, découverte au début du mois, qui représentait apparemment un "défaut de confusion de caractères" affectant le moteur JavaScript V8 de Chrome.
Selon un rapport de l'entreprise de cybersécurité Avertium, cette vulnérabilité aurait pu permettre à des hackers de tromper Chrome pour qu'il exécute des logiciels malveillants.
