Une faille de sécurité critique précédemment exploitée dans Chrome pour Windows a été découverte et est en cours de correction, selon Google.

Plusieurs failles de sécurité ont été découvertes ou signalées dans le navigateur Web Chrome de Google, en particulier pour les machines Windows. La mise à jour du canal stable (103.0.5060.114) corrige les failles qui permettraient à des attaquants distants de prendre le contrôle d’un système par le biais de vulnérabilités de type Javascript, tampon mémoire ou allocation de mémoire.

Un seul des problèmes de sécurité mis en évidence semble avoir été activement exploité ouvertement, mais la CVE-2022-2294, comme on l’appelle, pourrait entraîner de nombreux dommages ou autres problèmes. Il s’agit de ce que l’on appelle un « débordement de tampon Heap », en particulier dans WebRTC, qui permet aux communications audio et vidéo de fonctionner sur différents navigateurs Web. C’est une fonctionnalité importante de nos jours.

Google Chrome est attaqué : Mise à jour

Lorsqu’ils sont exploités, les attaquants peuvent écraser la mémoire tampon pour exécuter leurs propres commandes. Cela peut conduire à l’influence ou au contrôle direct de tout processus dans un système d’exploitation donné s’il n’est pas correctement protégé.

Les autres failles découvertes – un bug Use After Free dans Chrome OS et un bug Type Confusion qui pourrait être utilisé pour tromper Chrome en exécutant du code – n’ont pas été utilisées, semble-t-il. Ainsi, bien que les failles de sécurité existent bel et bien, personne en dehors des chercheurs qui les ont découvertes n’a été en mesure d’en tirer parti.

La mise à jour du canal Stable pour Chrome sur PC a été mise à jour et devrait être diffusée aux utilisateurs au cours des prochains jours (voire des prochaines semaines). La mise à jour devrait être appliquée automatiquement après le redémarrage de Chrome, mais vous pouvez également la mettre à jour manuellement si vous ne voulez pas attendre.