Google commence le déploiement d’une nouvelle mise à jour de Chrome. Celle-ci corrige la première vulnérabilité zero day de 2022. La firme de Mountain View a annoncé l’arrivée d’ici quelque temps d’un correctif important numéroté “98.0.4758.102”. Il permettra de résoudre 11 failles de sécurité, dont une vulnérabilité critique exploitée activement par des personnes malveillantes. Une vulnérabilité critique Google a mis en ligne Chrome 98.0.4758.102 afin de corriger une vulnérabilité zero-day utilisée par les pirates informatique. Google a publié Chrome 98.0.4758.102 pour Windows, Mac et Linux. Le déploiement est prévu dans les jours ou semaines à venir. La première faille de vulnérabilité corrigée permet de s’attaquer au navigateur en cas d’utilisation d’une mémoire non allouée à l’application. De type “zero-day”, elle est considérée comme très grave et est activement exploitée par les pirates. Repérée sous le nom de CVE-2022-0609, la vulnérabilité se trouve dans le composant Animation de Chrome. Ce type de faille peut entraîner la corruption de données valides et l’exécution de code arbitraire sur les systèmes vulnérables. Elle peut également être utilisée pour échapper au “mode bac à sable” de sécurité du navigateur, aussi appelé “sandbox”. En matière de sécurité informatique, le sandboxing est l’une des méthodes de protection les plus utilisées. Il s’agit d’un environnement fermé dans lequel les applications et les processus peuvent s’exécuter sans affecter l’ordinateur ou d’autres processus. En clair, il permet d’isoler chaque page Web et plug-in du reste du PC. De sorte que, si un code malveillant devait s’exécuter dans l’un de ces processus, cela n’affecterait pas le PC. Des vulnérabilités “use-after-free” La dernière version stable (98.0.4758.102) pour Windows, Mac et Linux apporte un total de 11 correctifs de sécurité, la plupart des failles les plus graves étant liées à des vulnérabilités de type UAF, soit, use-after-free. Les vulnérabilités UAF sont liées à une utilisation incorrecte de la mémoire dynamique dans les logiciels. À savoir que, la mémoire dynamique est utilisée par les programmeurs pour stocker de grandes quantités de données dans un logiciel en cours d’exécution. Elle est réaffectée de manière répétée. Ainsi, les programmes doivent constamment vérifier quelles sections de la mémoire sont libres et lesquelles sont occupées. Pour cela, ils sont aidés par des en-têtes qui référencent les zones de mémoire allouées. Chaque en-tête contient l’adresse de départ du bloc correspondant. Les bugs de l’UAF apparaissent lorsque les programmes ne gèrent plus correctement ces en-têtes. 10 autres failles de sécurité La majorité des autres vulnérabilités de haute gravité contenues dans la dernière vague de correctifs concernent l’UAF de divers composants de Google Chrome. Celle appelée CVE-2022-0603 est présente dans le gestionnaire de fichiers, une autre, CVE-2022-0605 se trouve dans l’API Webstore, CVE-2022-0606 existe dans ANGLE, et enfin, CVE-2022-0607 agit dans l’unité de traitement graphique. Il est possible de forcer la mise à jour dès maintenant. Et ce, en ouvrant le menu Chrome et en cliquant sur “À propos de Google Chrome” sous la section “Aide”.