Mise à jour d’urgence de la sécurité de Google Chrome alors que les cyberattaques sont en cours

Google a maintenant publié trois mises à jour de sécurité d’urgence hors bande pour le navigateur Chrome en autant de semaines. De plus, celui-ci, comme le premier, corrige une vulnérabilité zero-day de haute gravité qui est déjà exploitée par des attaquants.

Trois mises à jour de sécurité d’urgence de Google Chrome en trois semaines

Google a publié une autre mise à jour de sécurité d’urgence pour les 3,2 milliards d’utilisateurs du navigateur Web Chrome. La troisième mise à jour de ce type, qui révèle une seule vulnérabilité de haute gravité, doit être publiée dans trois semaines. celui-ci, comme le premier de ce triumvirat de menaces inquiétantes, est une vulnérabilité zero-day : une vulnérabilité dont Google a confirmé qu’elle est déjà exploitée par des attaquants.

Quelle est la gravité de CVE-2022-1364 ?

Les similitudes ne s’arrêtent pas là cependant. CVE-2022-1364, la vulnérabilité en question, est une autre ‘Type Confusion in V8’. Cela signifie que cela a un impact sur le moteur JavaScript utilisé par les navigateurs alimentés par Chromium tels que Google Chrome, Microsoft Edge, Brave et autres. Comme auparavant, Google ne met pas à disposition d’autres détails techniques, et la confirmation de la mise à jour indique que “nous conserverons également la restriction”, ce qui suggère qu’il s’agit en effet d’une vulnérabilité particulièrement grave.

Le processus de mise à jour de sécurité aura déjà commencé et le correctif devrait être disponible dans les jours et semaines à venir. Cette mise à jour d’urgence amène Chrome à la version 100.0.4896.127, sur les plates-formes Windows, Mac et Linux. Les utilisateurs de navigateurs tels que Microsoft Edge, Brave, Vivaldi et Opera sont invités à être attentifs aux mises à jour potentielles pour ceux qui seront disponibles sous peu.

Mise à jour du 15 avril : Bonne nouvelle pour les utilisateurs de Brave, la mise à jour est déjà en cours de déploiement. Ma copie de Brave a été mise à jour ce matin comme vous pouvez le voir dans la capture d’écran ci-dessous. Accédez simplement à l’entrée “À propos de Brave” dans le menu de la pile de hamburgers et Brave lancera automatiquement le processus de mise à jour.

PLUS DE FORBESGoogle publie soudainement une nouvelle mise à jour de sécurité d’urgence pour 3,2 milliards d’utilisateurs de Chrome

Bizarrement, l’annonce de la mise à jour de Google déclare qu’il comprend deux correctifs de sécurité mais ne répertorie en fait que CVE-2022-1364 tel que divulgué par Clément Lecigne qui travaille avec le Google Threat Analysis Group. La gravité de cette vulnérabilité est encore une fois mise en évidence par le fait qu’elle a été signalée à Google le 13 avril et que la mise à jour de sécurité a été publiée le lendemain. C’est un délai d’exécution très bienvenu, mais inhabituel et rapide.

J’ai contacté Google pour une déclaration.

Le système de divulgation des vulnérabilités de Google fonctionne comme prévu

Comme je l’ai déjà dit, cela n’équivaut pas à une mauvaise sécurité de Google, bien au contraire. La maturité du programme de sécurité de Google Chrome est attestée par la découverte et la correction de ces vulnérabilités. C’est la preuve que le système de divulgation des vulnérabilités fonctionne et fonctionne bien. Bien sûr, ce serait mieux s’il n’y avait pas de vulnérabilités aussi graves dans le code pour commencer, mais la vérité est que nous ne vivons pas dans un monde idéal où les erreurs ne sont pas commises.

PLUS DE FORBESCes 6 applications téléphoniques dangereuses doivent être supprimées immédiatement

Comment appliquer le correctif de sécurité Google Chrome

Chrome devrait se mettre à jour automatiquement au fur et à mesure que le correctif devient disponible. Cependant, il est conseillé de lancer le processus de mise à jour dès que possible étant donné que des attaques sont en cours.

Dirigez-vous vers l’option Aide | À propos de votre menu Google Chrome. Si votre version de Chrome ne s’affiche pas sous la forme 100.0.4896.127, elle sera vulnérable à l’exploit connu. La mise à jour devrait cependant commencer à se télécharger automatiquement. Cela peut prendre quelques jours pour que la mise à jour atteigne tout le monde, alors soyez patient si vous ne la voyez pas encore.

N’oubliez pas non plus de redémarrer votre navigateur après l’installation de la mise à jour, sinon elle ne s’activera pas et vous serez toujours vulnérable aux attaques.

Leave a Comment