Mise à jour d’urgence de la sécurité de Google Chrome alors que les cyberattaques sont en cours

Mise à jour du 17 avril ci-dessous. Cet article a été initialement publié le 14 avril

Google a maintenant publié trois mises à jour de sécurité d’urgence hors bande pour le navigateur Chrome en autant de semaines. De plus, celui-ci, comme le premier, corrige une vulnérabilité zero-day de haute gravité qui est déjà exploitée par des attaquants.

Trois mises à jour de sécurité d’urgence de Google Chrome en trois semaines

Google a publié une autre mise à jour de sécurité d’urgence pour les 3,2 milliards d’utilisateurs du navigateur Web Chrome. La troisième mise à jour de ce type, qui révèle une seule vulnérabilité de haute gravité, doit être publiée dans trois semaines. celui-ci, comme le premier de ce triumvirat de menaces inquiétantes, est une vulnérabilité zero-day : une vulnérabilité dont Google a confirmé qu’elle est déjà exploitée par des attaquants.

Quelle est la gravité de CVE-2022-1364 ?

Les similitudes ne s’arrêtent pas là cependant. CVE-2022-1364, la vulnérabilité en question, est une autre ‘Type Confusion in V8’. Cela signifie que cela a un impact sur le moteur JavaScript utilisé par les navigateurs alimentés par Chromium tels que Google Chrome, Microsoft Edge, Brave et autres. Comme auparavant, Google ne met pas à disposition d’autres détails techniques, et la confirmation de la mise à jour indique que “nous conserverons également la restriction”, ce qui suggère qu’il s’agit en effet d’une vulnérabilité particulièrement grave.

Le processus de mise à jour de sécurité aura déjà commencé et le correctif devrait être disponible dans les jours et semaines à venir. Cette mise à jour d’urgence amène Chrome à la version 100.0.4896.127, sur les plates-formes Windows, Mac et Linux. Les utilisateurs de navigateurs tels que Microsoft Edge, Brave, Vivaldi et Opera sont invités à être attentifs aux mises à jour potentielles pour ceux qui seront disponibles sous peu.

PLUS DE FORBESGoogle publie soudainement une nouvelle mise à jour de sécurité d’urgence pour 3,2 milliards d’utilisateurs de Chrome

Bizarrement, l’annonce de la mise à jour de Google déclare qu’il comprend deux correctifs de sécurité mais ne répertorie en fait que CVE-2022-1364 tel que divulgué par Clément Lecigne qui travaille avec le Google Threat Analysis Group. La gravité de cette vulnérabilité est encore une fois mise en évidence par le fait qu’elle a été signalée à Google le 13 avril et que la mise à jour de sécurité a été publiée le lendemain. C’est un délai d’exécution très bienvenu, mais inhabituel et rapide.

J’ai contacté Google pour une déclaration.

Le système de divulgation des vulnérabilités de Google fonctionne comme prévu

Comme je l’ai déjà dit, cela n’équivaut pas à une mauvaise sécurité de Google, bien au contraire. La maturité du programme de sécurité de Google Chrome est attestée par la découverte et la correction de ces vulnérabilités. C’est la preuve que le système de divulgation des vulnérabilités fonctionne et fonctionne bien. Bien sûr, ce serait mieux s’il n’y avait pas de vulnérabilités aussi graves dans le code pour commencer, mais la vérité est que nous ne vivons pas dans un monde idéal où les erreurs ne sont pas commises.

PLUS DE FORBESCes 6 applications téléphoniques dangereuses doivent être supprimées immédiatement

Comment appliquer le correctif de sécurité Google Chrome

Chrome devrait se mettre à jour automatiquement au fur et à mesure que le correctif devient disponible. Cependant, il est conseillé de lancer le processus de mise à jour dès que possible étant donné que des attaques sont en cours.

Dirigez-vous vers l’option Aide | À propos de votre menu Google Chrome. Si votre version de Chrome ne s’affiche pas sous la forme 100.0.4896.127, elle sera vulnérable à l’exploit connu. La mise à jour devrait cependant commencer à se télécharger automatiquement. Cela peut prendre quelques jours pour que la mise à jour atteigne tout le monde, alors soyez patient si vous ne la voyez pas encore.

N’oubliez pas non plus de redémarrer votre navigateur après l’installation de la mise à jour, sinon elle ne s’activera pas et vous serez toujours vulnérable aux attaques.

Mise à jour du 15 avril : Bonne nouvelle pour les utilisateurs de Brave, la mise à jour est déjà en cours de déploiement. Ma copie de Brave a été mise à jour ce matin comme vous pouvez le voir dans la capture d’écran ci-dessous. Accédez simplement à l’entrée “À propos de Brave” dans le menu de la pile de hamburgers et Brave lancera automatiquement le processus de mise à jour.

Mise à jour du 17 avril : Suite à ma précédente mise à jour que les utilisateurs du navigateur Web Brave ont pu corriger contre la vulnérabilité zero-day découverte dans le moteur Chromium, il y a d’autres bonnes nouvelles. Je peux confirmer que les utilisateurs de Microsoft Edge seront également protégés une fois la dernière mise à jour de sécurité du navigateur téléchargée et installée. Les instructions pour ce faire sont ci-dessous.

N’attendez pas une mise à jour automatique car cette vulnérabilité permet à un attaquant potentiel de prendre le contrôle de votre machine et un exploit dans la nature existe déjà. En vérifiant simplement la version de votre navigateur Edge, ce processus lancera un téléchargement si une mise à jour est prête.

Il est bon de voir que Microsoft a réagi si rapidement à cette vulnérabilité. Cela dit, ma copie du navigateur Brave a toujours battu Microsoft pour le coup de poing correctif de vulnérabilité. J’ai vérifié simultanément Brave et Edge pour les mises à jour, et Edge n’avait encore aucune mise à jour déployée et disponible pour moi à ce moment-là. Cela pourrait être un avantage d’échelle, Brave étant évidemment une opération beaucoup plus petite que Microsoft et une base d’utilisateurs beaucoup plus petite à considérer. Cependant, comme ils utilisent tous les deux le même moteur Chromium pour alimenter les navigateurs respectifs, je ne pense pas que ce soit trop demander de s’attendre à ce que des mises à jour importantes comme celle-ci sortent ensemble. En effet, je serais plus heureux si les mises à jour étaient déployées sur tous les navigateurs en même temps plutôt que tout le monde soit un pas ou deux derrière Google Chrome.

Et ne vous contentez pas de me croire sur parole quant à la dangerosité de cette situation, ou celle de Google qui a non seulement découvert le problème mais a publié un correctif d’urgence, tenez également compte du gouvernement américain. Le La Cybersecurity and Infrastructure Security Agency (CISA) a également confirmé que la vulnérabilité “a été détectée dans des exploits dans la nature” et encourage les utilisateurs et les administrateurs à appliquer les mises à jour nécessaires. Bien que cela n’ait pas tout à fait le même poids qu’une alerte officielle de la CISA ou, en fait, une directive d’urgence qui nécessite un correctif au sein des équipements fédéraux dans un délai déterminé, cela indique toujours clairement qu’il ne s’agit pas seulement de votre correctif de sécurité ordinaire.

Comment s’assurer que Microsoft Edge dispose de la dernière mise à jour de sécurité

1. Dans le menu “trois points” en haut à droite, sélectionnez “Aide et commentaires | À propos de Microsoft Edge”.

2. Cela vérifiera immédiatement si une mise à jour est disponible et commencera le téléchargement si tel est le cas.

3. Une fois le téléchargement terminé, vous devrez redémarrer le navigateur pour vous assurer que l’installation est terminée et que vous êtes correctement protégé.

Leave a Comment