Google Chrome corrige une énorme faille activement exploitée par les pirates

Google corrige une énorme faille 0-day dans Chrome. La faille permet à des pirates d’échapper des environnements sandbox et d’exécuter du code arbitraire. Il est fortement recommandé de mettre Chrome à jour au plus vite.

Google propose depuis quelques jours une mise à jour de Chrome qu’on ne saurait vous recommander d’installer davantage. En effet, celle-ci corrige une faille 0-day répertoriée dans la base NIST sous la référence CVE-2022-4135. Cette faille repose sur un problème de dépassement mémoire tampon dans le composant GPU.

La faille a été pour la première fois rapportée aux équipes de google le 22 novembre 2022. Grâce à cette faille des pirates pouvaient faire crasher arbitrairement des programmes et exécuter du code arbitraire à partir de pages web spécialement modifiées pour inclure un processus de rendu vérolé.

Mettez Google Chrome à jour au plus vite

De là, selon les chercheurs, il devient possible d’échapper de l’environnement de sandboxing qui sécurise normalement le navigateur – et poursuivre l’action malveillante. Google précise être “informé qu’un exploit autour du CVE-2022-4135 existe dans la nature”. Les détails plus précis sont pour l’heure gardés secrets en attendant qu’une majorité d’utilisateurs aient pu mettre à jour leur navigateur.

Google évite ainsi de donner un “mode d’emploi” permettant à plus de pirates de comprendre comment exploiter la faille de sécurité et ainsi potentiellement compromettre la sécurité de millions d’utilisateurs supplémentaires. La faille CVE-2022-4135 n’est d’ailleurs que l’une des 8 failles adressées par cette mise à jour.

Google corrige en effet aussi la faille CVE-2022-0609 de type Use After Free dans le composant Animation. En faisant référence à des adresses mémoires qui ont été libérées le code peut provoquer des crashes ou exécuter du code. Mais aussi la faille CVE-2022-3723 de type Confusion dans le moteur JavaScript V8.

Moteur également concerné par un problème de dépassement de mémoire tampon (CVE-2022-2294). Google corrige également la faille CVE-2022-2856 dans Web Intents qui adresse une validation insuffisante des entrées. Mais aussi la faille CVE-2022-3075 qui couvre un problème de validation dans Mojo. Enfin la mise à jour corrige la faille CVE-2022-1364 de type Confusion de type dans le composant WebRTC.

Il est une fois encore particulièrement recommandé d’appliquer cette mise à jour qui ne devrait durer que quelques minutes, surtout sur macOS, Linux et Windows 11. Le numéro de version après la mise à jour devrait être 108.0.5359.94 après la mise à jour si tout s’est bien passé (la dernière version de Chrome est 108.0.5359.79 sur Android et 108.0.5359.52 sur iPhone.

Des patchs similaires devraient également proposés par des navigateurs tiers basés sur Chromium, comme Microsoft Edge, Brave, Opera et Vivaldi. Pour mettre à jour Chrome il suffit en général de fermer puis de rouvrir le navigateur. Vous pouvez également vous rendre dans ses réglages > A propos de Chrome. Si une mise à jour est disponible un bouton Mettre à jour devrait s’afficher.