Google demande à tout le monde de corriger dès que possible cette faille de Chrome activement exploitée.



Hier, Google a publié une mise à jour de sécurité sur le canal stable pour le navigateur Web Google Chrome. Le bogue, appelé CVE-2022-1096, tire parti d'un problème lié aux types de variables dans le moteur JavaScript V8 de Google Chrome. Selon Google et d'autres chercheurs en sécurité, les créateurs de logiciels malveillants tirent déjà parti de cette vulnérabilité. Google a donc publié une déclaration encourageant tous les utilisateurs à mettre à jour leur navigateur dès que possible.







Bien que le rapport de bug sur la page de problèmes de Chromium soit verrouillé, la méthode d'exécution est déjà connue. L'erreur est une "erreur de confusion de type". En effet, si l'on accède à une variable ou à un emplacement mémoire en utilisant le mauvais type, cela peut provoquer un crash ou une faute de mémoire hors limites, permettant parfois l'exécution de code arbitraire. Il s'agit d'un problème courant dans les langages qui ne sont pas considérés comme sûrs du point de vue du type, comme le C, le C++ ou même le JavaScript, d'où vient la menace dans les navigateurs web. Bien qu'il existe un JavaScript à sécurité intrinsèque, connu sous le nom de TypeScript, malheureusement, l'exécution réelle sur le logiciel qui exécute le code s'effectue toujours en JavaScript lui-même.







Le concept de base du code Type-Safe est que vous savez toujours quel type de données vous manipulez. Dans la plupart des formes de JavaScript, vous pouvez déclarer n'importe quelle variable et elle prendra n'importe quel type, une chaîne de caractères, un nombre entier, etc. Mais dans le code sécurisé, vous devez déclarer votre variable ainsi que le type de variable que le code doit attendre, ce qui signifie que vous ne pouvez pas stocker une chaîne de caractères dans un nombre entier.



La vulnérabilité, qui, comme indiqué, est censée être déjà utilisée, est également présente dans Chromium, la forme de développement du navigateur Web Chrome. Chromium est également à la base de nombreux autres navigateurs et applications web, dont Microsoft Edge, Opera, Vivaldi, Brave, et même les bibliothèques de développement Electron. En tant que tel, Google a également déclaré qu'il encourage les développeurs à s'assurer qu'ils mettent à jour et diffusent des correctifs à leurs utilisateurs.







Pour vérifier si Google Chrome est à jour, ou pour forcer une mise à jour, vous pouvez visiter chrome://settings/help via votre barre d'adresse et vérifier si la version actuelle affichée est 99.0.4844.84 ou supérieure. Si c'est le cas, c'est bon. Sinon, vous devriez voir apparaître une invite vous permettant de mettre à jour.



