CVE-2022-0609 : Google corrige en urgence une zero-day dans Chrome

Google a mis en ligne Chrome 98.0.4758.102 afin de corriger une vulnérabilité zero-day utilisée par les attaquants dans le cadre d'attaques. Cette nouvelle version est disponible pour Windows, MacOS et Linux.

Au sein du bulletin de sécurité publié par Google, l'entreprise américaine précise que la vulnérabilité CVE-2022-0609 est désormais corrigée. La mise à jour est urgente, car un exploit pourrait exister pour cette faille de sécurité étant donné qu'elle est déjà exploitée dans le cadre d'attaques informatiques. C'est en tout cas ce que Google affirme de son côté.

C'est Adam Weidemann et Clément Lecigne de chez Google qui ont découvert cette vulnérabilité "Use after free in Animation". Dans la pratique, les attaquants utilisent généralement les failles "Use after free" pour exécuter du code arbitraire sur des machines qui utilisent une version non patchée de Chrome, ou pour s'échapper de la sandbox du navigateur. Pour le moment, peu de détails sont donnés sur cette vulnérabilité et ils seront ajoutés par la suite afin de laisser le temps à un maximum d'utilisateurs d'effectuer la mise à jour.

Il s'agit de la première faille de sécurité "zero-day" corrigée dans Chrome en 2022. Nous ferons les comptes en fin d'année pour voir si l'on dépasse le total de 16 failles zero-day corrigées dans Chrome sur l'année 2021. Chrome 98.0.4758.102 permet de corriger un ensemble de 11 failles de sécurité, ce qui donne une raison de plus pour installer cette mise à jour dès que possible.

Si vous utilisez Chrome, vous pouvez forcer la mise à jour en ouvrant le menu Chrome, puis en cliquant sur "À propos de Google Chrome" sous la section "Aide". Ensuite, la mise à jour va se mettre à jour et il faudra le redémarrer pour finaliser le processus. Maintenant, c'est à vous de jouer ! En entreprise, vous pouvez passer par une GPO pour déployer cette nouvelle version.

Source