Suite à la découverte d’un bug dans une nouvelle mise à jour de Chrome, Google l’a immédiatement corrigée. En une année, Chrome compte neuf failles zéro-day avec celle-ci. Cette faille permettrait aux individus malveillants d’échapper à l’environnement sandbox du navigateur. Google ne veut prendre aucun risque et ne donne aucune information technique sur cette anomalie.
Le fournisseur Google prend connaissance d’une faille de sécurité un jour après la parution de la version 108 de Chrome . Une version qui devait appuyer la correction d’une autre faille découverte une semaine auparavant. Ces dysfonctionnements ont rendu le navigateur vulnérable aux cyberattaques et n’ont été découverts qu’après les assauts. Celui qui a décelé cette lacune est un ingénieur en sécurité informatique de Google.
Google ne divulgue aucune information malgré l’engouement de chaque consultant IT du monde pour cette faille alarmant le géant d’Internet. Pour remarque, un travailleur de l’informatique bénéficie des connaissances nécessaires pour déceler ce type d’anomalie. Un réel atout pour les freelances dans le domaine IT.
La neuvième faille 0 day identifiée dans l’année
Intégrée dans la base NIST sous la référence CVE-2022-4135 , la faille est découverte le 22 novembre 2022. Elle rejoint la liste des autres failles résolues après la détection d’une attaque. En effet, sur toute l’année, le navigateur de Google compte 8 failles 0 day .
Dans la mise à jour qui sert à réparer la CVE-2022-4135 , Chrome corrige également plusieurs dysfonctions. Voici une liste des plus connues :
- La faille CVE-2022-0609 de type Use After Free dans le composant Animation (en se référant aux adresses mémoires libérées, le pirate peut exécuter du code ou provoquer des crashes) ;
- La faille CVE-2022-3723 de type Confusion de JS V8 (une vulnérabilité dans le moteur JavaScript) ;
- La faille CVE-2022-1364 de type Confusion dans le composant WebRTC ;
- La faille CVE-2022-2294 (un problème suscité par le dépassement de la mémoire tampon du moteur de recherche) ;
- La faille CVE-2022-2856 dans Web Intents (une anomalie qui fournit une validation insuffisante des entrées) ;
- La faille CVE-2022-3075 concernant un problème de validation dans Mojo.
La mise à jour opérationnelle est enregistrée sous la référence 108.0.5359.94/.95, une version ultérieure à la 108 sortie récemment. Des patchs de sécurité similaires à celle-ci sont également disponibles pour les navigateurs relatifs à Chromium. Il est vrai que le Chrome intègre un module de mise à jour automatique.
Cependant, il est conseillé d’exécuter la mise à jour manuellement dès qu’elle est disponible.
Une faille encore peu connue
Pour éviter que les hackers profitent d’une anomalie dans le système, Google refuse de dévoiler des informations sur celle-ci. En effet, l’entreprise explique vaguement les caractéristiques de la faille pour éviter de donner des informations techniques. Toutefois, les détails seront publiés dès que la plupart des utilisateurs auront mis leur navigateur à jour.
D’ailleurs, Google déclare dans son blog :
L’accès aux détails des bugs et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés.
La faille est causée par un dépassement de mémoire tampon dans le GPU de l’appareil utilisé. C’est à partir de là que les pirates informatiques échappent à l’environnement de sandboxing selon les experts. En exploitant cette anomalie, les hackers peuvent exécuter un code arbitraire sur la machine . En effet, ce dysfonctionnement leur permet de faire crasher des programmes . Aussi, ils peuvent inclure un processus de rendu vérolé à l’aide de pages web modifiées. Google se limite à ces informations pour sécuriser les données de millions d’utilisateurs supplémentaires. Aussi, l’entreprise ne donne aucun détail sur la manière dont elle a résolu le dysfonctionnement.