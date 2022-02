Google publie un correctif de sécurité d'urgence pour des milliards d'utilisateurs du navigateur Chrome, mettez-le à jour dès que possible.



Si vous utilisez le navigateur Chrome de Google sur votre PC Windows, votre système Linux ou votre ordinateur Mac, assurez-vous que vous avez installé la dernière version (version 98.0.4758.102). En effet, cette dernière mise à jour contient plusieurs correctifs de sécurité, dont un correctif d'urgence pour une vulnérabilité de type "zero-day" qui, selon Google, est activement exploitée dans la nature.







Cette vulnérabilité spécifique est répertoriée sous le nom de CVE-2022-0609 et, malheureusement, il existe très peu d'informations à son sujet pour le moment. Ou heureusement, car Google s'abstient souvent de divulguer les détails de ce genre de choses jusqu'à ce que les utilisateurs aient eu l'occasion d'appliquer la mise à jour. Sinon, cela ne fait qu'attirer l'attention sur un autre vecteur d'attaque pour les pirates avant que la majorité des utilisateurs ne soient correctement protégés.



Il est simplement décrit comme un exploit "Use after free in Animation", qui a été découvert et signalé par

Adam Weidemann et Clément Lecigne du Threat Analysis Group de Google.



Au total, la dernière mise à jour comprend 11 correctifs de sécurité, dont plus de la moitié sont jugés d'un niveau de gravité élevé. Les primes pour les bogues répertoriés s'élèvent à 29 000 dollars, bien que la somme réelle soit plus élevée - il y a au moins deux primes qui restent à déterminer.



Google a fourni un minimum de détails sur la plupart d'entre eux.



Ils comprennent :



- Haut : CVE-2022-0603 : Utilisation après free dans le gestionnaire de fichiers. Signalé par Chaoyuan Peng (@ret2happy) le 2022-01-22,

- Élevé : CVE-2022-0604 : Débordement de tampon de tas dans les groupes d'onglets. Signalé par Krace le 2021-11-24,

- Élevé : CVE-2022-0605 : Utilisation après libération dans l'API Webstore. Signalé par Thomas Orlita le 2022-01-13,

- Élevée : CVE-2022-0606 : Utilisation après la libération dans ANGLE. Signalé par Cassidy Kim de Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. le 2022-01-17,

- Haut : CVE-2022-0607 : Utilisation après libération dans GPU. Signalé par 0x74960 le 2021-09-17,

- Élevé : CVE-2022-0608 : Débordement d'entier dans Mojo. Signalé par Sergei Glazunov de Google Project Zero le 2021-11-16,

- Élevée : CVE-2022-0609 : Utilisation après free dans Animation. Signalé par Adam Weidemann et Clément Lecigne du groupe d'analyse des menaces de Google le 2022-02-10,

- Moyenne : CVE-2022-0610 : Implémentation inappropriée dans l'API Gamepad. Signalé par Anonymous le 2022-01-08.



Plusieurs d'entre elles sont des bugs Use After Free, qui traitent de la corruption de la mémoire et sont quelque peu courantes parmi les hacks de navigateurs. Dans ce cas, les failles UAF affectent le gestionnaire de fichiers, l'API Webstore, ANGLE, GPU et Animation, cette dernière ayant confirmé qu'un exploit pour cette faille "existe dans la nature". C'est un fait notable, étant donné que l'on estime à au moins 3,2 milliards le nombre d'utilisateurs de Chrome.







Vous pouvez attendre une mise à jour automatique, mais compte tenu de la situation, il vaut mieux forcer la main. C'est assez facile à faire. Il suffit de cliquer sur les trois points verticaux situés dans le coin supérieur droit pour faire apparaître le menu Chrome, puis de naviguer jusqu'à Aide > Google Chrome. Le navigateur recherchera alors une mise à jour et, si elle est disponible, commencera à la télécharger immédiatement. Une fois le téléchargement terminé, vous devrez relancer Chrome.



