Google exhorte de toute urgence les utilisateurs de Chrome à migrer vers la version 101 en raison de problèmes de sécurité. L’objectif ? Anéantir tout risque d’exposition et d’exploitation ; Chrome 101.0.4951.41 contient plusieurs correctifs pour les failles de sécurité considérées comme dangereuses.
Les développeurs ont corrigé 29 failles de sécurité qui affectaient les versions de Google Chrome antérieures à la version stable 101.0.4951, déployée le 26 avril. Parmi elles, six sont répertoriées comme des menaces “élevées”. Aucune de ces vulnérabilités n’est de type “zero day”. Les attaquants sont déjà en train de les exploiter. Voici leur nom dans la catégorie CVE (Common Vulnerabilities and Exposures) :
- CVE-2022-1477 : interface de programmation graphique Vulkan
- CVE-2022-1478 : moteur de rendu SwiftShader
- CVE-2022-1479 : logiciel graphique ANGLE
- CVE-2022-1481 : fonction de partage
- CVE-2022-1482 : implémentation inappropriée dans WebGL
- CVE-2022-1483 : vérification incorrecte des limites par le WebGPU
14 autres failles présenteraient un risque moyen. Au total, plus de 80 000 dollars ont été confirmés par le biais des primes versées par Google aux chercheurs qui ont découvert ces problèmes de sécurité et 29.000 dollars pour quatre des six vulnérabilités considérées comme “élevées”.
Concrètement, ces failles constituent des erreurs d’utilisation de données en mémoire après libération (user after free) dans Google Chrome. Elles permettent à un attaquant de visiter un site web, d’exécuter du code arbitraire et de provoquer un déni de service. Aussi elles peuvent être liées à une vérification incorrecte des limites par le WebGPU. À cause de ce type de faille, un attaquant peut entraîner un débordement de mémoire tampon et exécuter du code arbitraire sur le système ou de provoquer un déni de service. Et ce, à distance.
Pour plus de précisions sur leur origine et leur teneur, il faudra patienter. En effet, le géant du Web a déclaré vouloir attendre que la majorité des utilisateurs effectuent la mise à jour de leur navigateur avant d’expliquer comment les attaquants pourraient exploiter ces failles. Même chose pour les informations sur les bugs qui existent dans les bibliothèques tierces. Le navigateur attend que les développeurs aient la possibilité de les corriger.
Comment savoir si Chrome est à jour ?
Pour vérifier si son navigateur est à jour, il suffit de vérifier la version actuelle en cliquant sur les trois petits boutons en haut à droite du navigateur Ensuite, il faut se rendre dans la section “Paramètres” et sélectionner l’onglet “À propos de Chrome”. Autre solution, ouvrir la page chrome://settings/help.
Avec Geeko
