Google publie une mise à jour urgente de Chrome pour corriger une vulnérabilité zero-day

Google a publié vendredi une mise à jour de sécurité hors bande pour corriger une vulnérabilité de gravité élevée dans son navigateur Chrome qui est activement exploitée dans la nature, selon la société.
SIA Team
March 28, 2022

Google a publié vendredi une mise à jour de sécurité hors bande pour corriger une vulnérabilité de gravité élevée dans son navigateur Chrome qui est activement exploitée dans la nature, selon la société.

Dans les langages qui ne sont pas sûrs pour la mémoire, tels que C et C++, les erreurs de confusion de type, qui se produisent lorsqu’une ressource (par exemple, une variable ou un objet) est accédée à l’aide d’un type incompatible avec ce qui a été initialisé à l’origine, peuvent avoir de graves conséquences, permettant à un acteur malveillant d’effectuer un accès à la mémoire hors limites.

Selon la Common Weakness Enumeration (CWE) de MITRE, « si la mémoire tampon allouée est plus petite que le type auquel la fonction tente d’accéder, elle pourrait lire ou écrire de la mémoire en dehors des limites de la mémoire tampon, ce qui entraînerait un plantage et éventuellement l’exécution de code ».

La société a déclaré qu’elle était consciente qu’un exploit pour CVE-2022-1096 existait dans la nature, mais a refusé de fournir des détails pour éviter une exploitation ultérieure, et jusqu’à ce que la majorité des clients aient été mis à jour avec un remède.

CVE-2022-1096 est la deuxième vulnérabilité zero-day de Google dans Chrome depuis le début de l’année ; le premier étant CVE-2022-0609, une faille d’utilisation après libération dans le composant Animation qui a été corrigée le 14 février 2022.

La faiblesse zero-day, identifiée comme CVE-2022-1096, est un type de vulnérabilité de malentendu dans le moteur JavaScript V8.