Les utilisateurs de Chrome sous Windows, macOS et Linux doivent impérativement mettre à jour le navigateur avec sa dernière version numérotée 103.0.5060.114. Ceux qui s’en servent sous Android ont reçu une mise à jour 103.0.5060.71. Les internautes équipés d’un navigateur Chromium (Edge, Brave, Opera, Vivaldi) sont eux aussi fortement incités à le mettre à jour.
Faille déjà exploitée
En cause, une faille de sécurité « zero day », c’est à dire qui a déjà été exploitée par des pirates. La vulnérabilité référencée sous l’identifiant CVE-2022-2294 a été découverte par Jan Vojtesek, chercheur en sécurité chez Avast, qui l’a signalée à Google le 1er juillet de cette année. Le correctif n’a pas mis de temps à être développé, mais le danger était très sérieux.
Dans le détail, la faille touche le composant webRTC qui fournit à Chrome des capacités de lecture audio et vidéo en temps réel sans passer par un plug-in ou le téléchargement d’une application supplémentaire. Elle permet une attaque par dépassement de tas (« heap overflow »), ce qui aboutit à l’exécution de code arbitraire et met en place les conditions d’un déni de service.
Comme toujours pour ce qui concerne une faille « zero day », les informations partagées au grand public sont volontairement peu détaillées. Il s’agit d’éviter de mettre des pirates sur la voie de son exploitation. Pour Chrome, il s’agit de la quatrième vulnérabilité de ce type corrigée depuis le début de l’année.
Les utilisateurs de Chrome ou des navigateurs basés sur Chromium ont tout intérêt d’activer le téléchargement et l’installation automatiques des mises à jour, dans les préférences du logiciel.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
