Google a publié lundi des mises à jour de sécurité pour résoudre une vulnérabilité zero-day de haute gravité dans son navigateur Web Chrome qui, selon lui, est exploitée à l’état sauvage.
La lacune, suivie comme CVE-2022-2294concerne une erreur de débordement de tas dans WebRTC composant qui fournit des capacités de communication audio et vidéo en temps réel dans les navigateurs sans avoir besoin d’installer des plugins ou de télécharger des applications natives.
Les débordements de tampon de tas, également appelés dépassement de tas ou écrasement de tas, se produisent lorsque des données sont écrasées dans le zone de tas de la mémoireentraînant l’exécution de code arbitraire ou une condition de déni de service (DoS).
“Les débordements basés sur le tas peuvent être utilisés pour écraser les pointeurs de fonction qui peuvent vivre en mémoire, en les pointant vers le code de l’attaquant”, MITRE explique. “Lorsque la conséquence est l’exécution de code arbitraire, cela peut souvent être utilisé pour subvertir tout autre service de sécurité.”
Jan Vojtesek de l’équipe Avast Threat Intelligence est crédité d’avoir découvert et signalé la faille le 1er juillet 2022. Il convient de souligner que le bogue a également impacts la version Android de Chrome.
Comme c’est généralement le cas avec l’exploitation du jour zéro, les détails relatifs à la faille ainsi que d’autres spécificités liées à la campagne ont été retenus pour empêcher de nouveaux abus dans la nature et jusqu’à ce qu’un nombre important d’utilisateurs soient mis à jour avec un correctif.
CVE-2022-2294 marque également la résolution de la quatrième vulnérabilité zero-day dans Chrome depuis le début de l’année –
Il est recommandé aux utilisateurs de mettre à jour vers la version 103.0.5060.114 pour Windows, macOS et Linux et 103.0.5060.71 pour Android afin d’atténuer les menaces potentielles. Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs au fur et à mesure de leur disponibilité.