Une faille de sécurité critique précédemment exploitée dans Chrome pour Windows a été découverte et est en cours de correction, selon Google.
Plusieurs failles de sécurité ont été découvertes ou signalées dans le navigateur Web Chrome de Google, en particulier pour les machines Windows. La mise à jour du canal stable (103.0.5060.114) corrige des failles qui permettraient à des attaquants distants de prendre le contrôle d'un système via Javascript, un tampon mémoire ou des vulnérabilités d'allocation de mémoire.
Un seul des problèmes de sécurité mis en évidence semble avoir été activement exploité ouvertement, mais CVE-2022-2294, comme on l'appelle, pourrait entraîner de nombreux dommages ou d'autres problèmes. C'est ce que l'on appelle un "débordement de mémoire tampon", en particulier dans WebRTC, qui permet à la communication audio et vidéo de fonctionner sur différents navigateurs Web. Une sorte de fonctionnalité importante de nos jours.
Lorsqu'il est exploité, les attaquants peuvent écraser la mémoire tampon pour exécuter leurs propres commandes. Cela pourrait conduire à influencer ou à contrôler directement n'importe quel processus d'un système d'exploitation donné s'il n'est pas correctement protégé.
Les autres exploits découverts - un bogue Use After Free dans Chrome OS et un bogue Type Confusion qui pourraient être utilisés pour inciter Chrome à exécuter du code - n'ont pas été utilisés, semble-t-il. Ainsi, bien que les failles de sécurité existent, personne en dehors des chercheurs qui les ont découvertes n'a pu en profiter.
La mise à jour de la chaîne stable pour Chrome sur PC a été mise à jour et devrait être déployée auprès des utilisateurs au cours des prochains jours (voire des prochaines semaines). La mise à jour devrait être appliquée automatiquement après le redémarrage de Chrome, mais vous pouvez également mettre à jour manuellement si vous ne voulez pas attendre.