Le géant de la recherche Google a publié vendredi une mise à jour de sécurité hors bande pour corriger une nouvelle faille zero-day activement exploitée dans son navigateur Web Chrome.
La faille de haute gravité, suivie comme CVE-2022-4262, concerne un bogue de confusion de type dans le moteur JavaScript V8. Clement Lecigne du Threat Analysis Group (TAG) de Google a été crédité d’avoir signalé le problème le 29 novembre 2022.
Les vulnérabilités de confusion de type pourraient être militarisées par des acteurs de la menace pour effectuer un accès mémoire hors limites, ou conduire à un plantage et à l’exécution de code arbitraire.
Selon la base de données nationale des vulnérabilités du NIST, la faille permis un « attaquant distant pour potentiellement exploiter la corruption de tas via une page HTML spécialement conçue ».
Google a reconnu l’exploitation active de la vulnérabilité, mais s’est abstenu de partager des détails supplémentaires pour empêcher de nouveaux abus.
CVE-2022-4262 est la quatrième faille de confusion de type activement exploitée que Google a corrigée depuis le début de l’année. C’est aussi la neuvième faille zero-day dans Chrome que les attaquants ont exploitée à l’état sauvage en 2022 –
Il est recommandé aux utilisateurs de mettre à niveau vers la version 108.0.5359.94 pour macOS et Linux et 108.0.5359.94/.95 pour Windows afin d’atténuer les menaces potentielles.
Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs au fur et à mesure de leur disponibilité.