Google publie une mise à jour d’urgence pour corriger une vulnérabilité de type “jour zéro” dans Chrome

Google a corrigé un problème important dans Chrome, portant à quatre le nombre total de vulnérabilités de type "zero-day" résolues en 2022.
SIA Team
April 19, 2022

Google a publié cette semaine une mise à jour d’urgence qui corrige deux vulnérabilités dans son navigateur Web Chrome, dont une faille de type confusion qui a déjà été exploitée dans la nature.

Dans la mise à jour, Google a déclaré être au courant d’une attaque pour CVE-2022-1364. Les détails ne seront révélés que lorsque la majorité des utilisateurs de Chrome sous Windows, Linux et Mac auront effectué la mise à jour vers la version 100.0.4896.127.

Les navigateurs basés sur Chromium, tels que Microsoft Edge, Brave et Vivaldi, seraient affectés par ledit incident.

Le deuxième problème qui a été résolu semble être lié à des problèmes internes. “Diverses corrections provenant d’audits internes, de fuzzing et d’autres initiatives”, selon l’avis.

Les moteurs JavaScript et WebAssembly du navigateur sont affectés par la vulnérabilité de type misunderstanding (CVE-2022-1364). Un logiciel présentant cette faille allouera une ressource (telle qu’un pointeur ou un objet) avec un type et essaiera ensuite d’accéder à cette ressource avec un autre type. Cette faille peut être utilisée pour faire planter le navigateur, générer des erreurs logiques ou même exécuter du code arbitraire.

Il s’agit de la troisième mise à jour d’urgence de Chrome en 2022, et de la troisième vulnérabilité zero-day de l’année. En mars, Google (en collaboration avec Microsoft) a corrigé un problème majeur dans le moteur JavaScript de Chromium v8 qui était activement exploité (CVE-2022-1096).