Google Chrome : appliquez dès maintenant la nouvelle mise à jour de sécurité pour corriger ces 6 bugs

Google a publié une mise à jour de sécurité pour son navigateur Google Chrome sur Windows, Mac et Linux afin de corriger dix failles de sécurité, dont certaines pourraient permettre à des attaquants de faire tomber les systèmes vulnérables à distance.

Google a détaillé certains des correctifs dans une article sur la mise à jour de Google Chrome.

Au total, la dernière mise à jour de Google Chrome comprend 10 mises à jour de sécurité - qui sont également disponibles pour Google Chrome sur les appareils mobiles, sauf indication contraire. Six de ces mises à jour ont été classées comme étant de "haute gravité". Cela signifie que les mises à jour doivent être appliquées dès que possible.

"heap corrupt"

Les vulnérabilités pourraient permettre à un attaquant distant d'exploiter une "heap corrupt" via une page HTML. La corruption affecte le "heap", une zone de mémoire informatique pré-réservée qu'un programme utilise pour stocker une quantité variable de données.Cette corruption peut entraîner un défaut de mémoire au point de provoquer un crash.

CVE-2022-3885 est une vulnérabilité dans V8, le moteur JavaScript open-source développé par le projet Chromium pour les navigateurs web Google Chrome et Chromium, qui pourrait provoquer cette heap corruption du tas, tandis que CVE-2022-3886 est une vulnérabilité dans la reconnaissance vocale dans Google Chrome qui peut être exploitée pour le même effet.

CVE-2022-3887 est une vulnérabilité dans Web Workers, qui est utilisé dans Google Chrome pour exécuter des scripts en arrière-plan sans interférer avec l'interface utilisateur. CVE-2022-3888 est une vulnérabilité dans WebCodecs dans Google Chrome, qui est utilisé pour fournir un accès de bas niveau aux encodeurs et décodeurs de médias.

7 000 à 21 000 dollars de primes de bug versées

Parallèlement, CVE-2022-3889 est une vulnérabilité dans V8, fournissant au programme un code erroné. Chacune de ces vulnérabilités peut permettre aux attaquants d'exploiter des failles de corruption de chaleur.

La dernière vulnérabilité à avoir été répertoriée publiquement est la CVE-2022-3890, un débordement de tampon dans Crashpad de Google Chrome sur Android, qui pourrait permettre à un attaquant distant de s'échapper de la sandbox, ce qui pourrait lui permettre d'élever ses privilèges dans tout un environnement hôte.

"Nous tenons également à remercier tous les chercheurs en sécurité qui ont travaillé avec nous pendant le cycle de développement afin d'éviter que des bogues de sécurité n'atteignent jamais le canal stable", a déclaré Google, qui a versé des primes de bogues allant de 7 000 à 21 000 dollars aux chercheurs qui les ont découverts.

Il est recommandé aux utilisateurs d'appliquer le correctif de sécurité Google Chrome 107.0.5304.110 pour Mac et Linux et 107.0.5304.106/.107 pour Windows dès qu'il sera disponible, afin de protéger les systèmes contre les attaques potentielles.

Source : "ZDNet.com"