Google a publié une mise à jour pour la version Windows de son navigateur Web Chrome afin de corriger une vulnérabilité zero-day activement exploitée dans la nature.
Le bogue de haute gravité, suivi comme CVE-2022-2294, a été corrigé avec la dernière version de Chrome (103.0.5060.114), rapporte BleepingComputer.
Google Chrome se met généralement à jour automatiquement, dès que l'utilisateur ouvre le navigateur, il est donc probable que de nombreuses installations aient déjà été corrigées (s'ouvre dans un nouvel onglet). Cependant, Google indique que la solution peut prendre plusieurs semaines pour arriver au reste.
à court de détails
Pendant ce temps, Google retient les détails sur la vulnérabilité et son exploitation, afin de ne donner aucun aperçu aux cybercriminels. Nous devrons attendre encore un peu pour en savoir plus sur le malware (ouvre un nouvel onglet) utilisé pour exploiter la faille.
"L'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce que la majorité des utilisateurs soient mis à jour avec un correctif", a déclaré Google. "Nous conserverons également les restrictions si le bogue existe dans une bibliothèque tierce dont d'autres projets dépendent de la même manière, mais cela n'a pas encore été corrigé."
Nous savons que la faille est une faiblesse de débordement de tampon de gravité élevée, découverte par Jan Vojtesek d'Avast, dans le composant WebRTC (Web Real-Time Communications).
Les pirates qui réussissent à exploiter ce bogue peuvent planter des programmes et exécuter du code arbitraire sur les terminaux concernés.
Ce n'est pas le premier bogue zero-day que Google corrige cette année. En fait, il s'agit du quatrième, après CVE-2022-0609 (corrigé en février), CVE-2022-1096 (corrigé en mars) et CVE-2022-1364 (corrigé en avril).
Le premier du groupe était exploité par des acteurs parrainés par l'État nord-coréen, ont déclaré les enquêteurs à l'époque.
Il est conseillé aux administrateurs de garder un œil sur Chrome et de s'assurer d'installer le correctif, si le navigateur ne le fait pas automatiquement.
Via BleepingComputer (Ouvre dans un nouvel onglet)