Que vient-il de se passer ? Google vient de publier une mise à niveau de sécurité en situation d’urgence pour détecter une vulnérabilité récemment découverte dans le navigateur Web Chrome. L’exploit basé sur le dépassement de mémoire tampon a été trouvé par Clément Lecigne, membre du Google Threat Analysis Group (TAG). Google a reconnu le problème et s’est engagé à ne pas divulguer plus de détails sur la vulnérabilité jusqu’à ce que le correctif soit effectivement déployé à grande échelle.
La toute nouvelle vulnérabilité, classée CVE-2022-4135, est un problème de dépassement de mémoire tampon dans le GPU qui peut entraîner un accès non autorisé aux informations par des étoiles destructrices, provoquer une instabilité de l’application ou éventuellement fournir un consentement. pour effectuer un code approximatif sur la machine cible.
Le TAG de Google a reconnu la vulnérabilité dans une mise à jour de canal stable actuelle qui a été déployée pour éviter une plus grande exploitation. Les ingénieurs de Google ont mis à jour régulièrement le canal 107.0.5304.121 pour les systèmes Mac et Linux ainsi que le canal 107.0.5304.121/.122 pour les systèmes Windows. Une liste de toutes les mises à jour et notes de publication associées peut être découverte dans les journaux de publication de Chromium.
La découverte marque la huitième vulnérabilité zero-day du géant du logiciel en 2022. Les vulnérabilités précédemment couvertes comprenaient :
- CVE-2022-3723– Confusion de type dans la V8
- CVE-2022-3075– Validation des données inadéquate dans Mojo
- CVE-2022-2856– Validation insuffisante d’entrées non fiables
- CVE-2022-2294– Débordement de tampon de pile dans WebRTC
- CVE-2022-1364– Confusion de type dans V8
- CVE-2022 -1096– Type confusion in V8
- CVE-2022-0609– Use after free in animation
Le débordement de charge peut offrir les agresseurs avec la capacité d’augmenter les pointeurs fonctionnels dans une application, les dirigeant plutôt vers du code destructeur publié arbitrairement. La condition est le résultat d’un écrasement de la mémoire tampon dans la partie pile de la mémoire d’un système.
La décision de Google de ne pas partager instantanément les détails de l’exploit est une pratique de base destinée à réduire l’utilisation et l’impact de la vulnérabilité. En ralentissant la compréhension et la prise de conscience des informations de la vulnérabilité, les utilisateurs ont plus de temps pour corriger et mettre à jour leurs navigateurs avant que l’exploit ne puisse être exploité. Il offre également aux concepteurs de bibliothèques tierces très utilisées la possibilité de corriger la vulnérabilité, ce qui limite davantage l’exploitabilité.
» L’accès aux détails des bogues et aux liens peut être limité jusqu’à ce qu’un grand nombre d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également les limitations si le bogue existe dans une bibliothèque tierce dont d’autres travaux dépendent de la même manière, mais n’ont pas encore été corrigés. « — Prudhvikumar Bommana
Il est recommandé aux utilisateurs de Chrome de mettre à jour leur navigateur dès que possible et de suivre tous les autres navigateurs Web basés sur Chromium pour des mises à jour similaires lorsqu’ils seront publiés.
Toute l’actualité en temps réel, est sur L’Entrepreneur
