Google a corrigé 28 vulnérabilités avec la nouvelle mise à jour 100.0.4896.60 de son navigateur Chrome. Au moins 9 d’entre elles sont critiques, et ces failles viennent s’ajouter à la vulnérabilité CVE-2022-1096, extrêmement dangereuse, que Google a corrigée quelques jours auparavant en lançant une mise à jour supplémentaire. Ainsi, les développeurs de Chrome ont publié 10 correctifs de failles très dangereuses en moins d’une semaine. En d’autres termes, si vous n’avez pas redémarré votre ordinateur ou votre navigateur depuis un certain temps, vous devez installer ces mises à jour.
La vulnérabilité CVE-2022-1096
Google n’a pas encore publié de détails sur les vulnérabilités. Selon la politique de sécurité de l’entreprise, l’accès à la description détaillée des bugs est restreint jusqu’à ce que la majorité des utilisateurs actifs ait mis à jour leur navigateur. Il est évident que la vulnérabilité CVE-2022-1096 (celle que Google a corrigé le 25 mars avec un patch additionnel et seulement quatre jours avant sa mise à jour majeure) pouvait causer de vrais problèmes.
CVE-2022-1096 appartient à la catégorie des vulnérabilités Type Confusion, ce qui signifie que la faille est liée à une erreur dans la gestion des types de données du moteur V8. Cette faille est particulièrement dangereuse puisque Google a jugé nécessaire de corriger ce bug séparément et de publier un patch de toute urgence. De plus, selon les informations communiquées lors de la sortie du correctif, Google savait déjà qu’un exploit de cette vulnérabilité existait le 25 mars. Le lendemain, Microsoft a corrigé cette même vulnérabilité dans son navigateur Edge basé sur Chromium. Avec toutes ces informations, il est raisonnable de croire que l’exploit de cette vulnérabilité existe et qu’il est activement exploité par les cybercriminels.
28 nouvelles failles
Sur les 28 vulnérabilités que cette dernière mise à jour corrige, la plupart (20) ont été découvertes par des chercheurs indépendants, alors que les experts internes de Google ont signalé les 8 autres. Parmi les 9 vulnérabilités critiques, quatre (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) sont du type use-after-free, trois (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) sont liées à des implémentations inappropriées dans plusieurs composants, une autre (CVE-2022-1130) est due à une validation insuffisante des données non fiables dans WebOTP, alors que la dernière (CVE-2022-1134), tout comme CVE-2022-1096, est un problème qui appartient à la catégorie Type Confusion dans le moteur V8.
Comment vous protéger ?
Tout d’abord, vous devez mettre à jour votre navigateur pour installer la dernière version : 100.0.4896.60 au moment où cet article a été rédigé. Si vous utilisez une version de Chrome plus ancienne, cela signifie que votre navigateur ne s’est pas automatiquement mis à jour. Dans ce cas, nous vous conseillons d’installer la mise à jour manuellement en suivant nos instructions. N’oubliez pas de mettre à jour Microsoft Edge si vous l’utilisez. La procédure à suivre est la même que pour Google Chrome.
Nous vous conseillons également de suivre l’actualité et de mettre à jour les programmes critiques dès que possible, comme les solutions de sécurité, les navigateurs, les suites de bureautique et le système d’exploitation.
De plus, nous vous recommandons d’installer des solutions de sécurité fiables qui peuvent automatiquement détecter et interrompre les attaques qui essaient d’exploiter les vulnérabilités. Vous êtes ainsi protégé contre ces attaques avant même la sortie des correctifs.