Un exploit pour la nouvelle vulnérabilité zero-day de Google Chrome qui est activement exploitée par des pirates est déjà dans la nature.
Google a publié une mise à jour d’urgence pour Chrome qui corrige une vulnérabilité zero-day dans le navigateur Web populaire. Grâce à un exploit disponible, les attaquants ont déjà activement exploité la vulnérabilité cette année. Comme d’autres attaques sont attendues, les utilisateurs doivent mettre à jour de toute urgence leurs navigateurs.
La vulnérabilité ouvre la porte aux pirates par débordement de mémoire tampon
Une mise à jour d’urgence récemment publiée pour la version de bureau de Google Chrome ferme une vulnérabilité zero-day dans le navigateur Web populaire. La vulnérabilité enregistrée sous l’identifiant CVE-2022-4135 permet aux attaquants de provoquer un débordement de tampon de tas dans le GPU.
Cela donne aux pirates un accès en écriture à des zones de mémoire qui leur sont normalement refusées. Là, ils peuvent ensuite injecter du code malveillant en écrasant la mémoire d’une autre application et en manipulant son chemin d’exécution.
Quiconque sait comment utiliser correctement la vulnérabilité zero-day dans le navigateur Chrome peut finalement l’utiliser pour obtenir des droits plus élevés et exécuter du code arbitraire sur le système cible.
Une mise à jour d’urgence pour Google Chrome est disponible
Le découvreur de cette vulnérabilité est Clément Lecigne du Threat Analysis Group de Google. Il a découvert la vulnérabilité, qui était déjà activement exploitée par des attaquants, le 22 novembre 2022.
Google en profite pour remercier tous les chercheurs en sécurité dans son rapport de mise à jour de Chrome, «qui a travaillé avec nous tout au long du cycle de développement pour empêcher les vulnérabilités d’atteindre le canal stable.« Mais le groupe met aussi en garde contre cela »,qu’un exploit pour CVE-2022-4135 existe dans la nature.«
Pour l’instant, Google se retient de donner plus de détails sur le bogue corrigé avec la dernière mise à jour de Chrome, jusqu’à ce que « la majorité des utilisateurs” a reçu la mise à jour. De cette façon, le groupe empêche encore plus d’attaquants d’exploiter la faille de sécurité et de mettre en danger les nombreux utilisateurs du navigateur.
La vulnérabilité a été corrigée à partir de la version 107.0.5304.121 pour Mac et Linux et 107.0.5304.121/.122 pour les systèmes Windows. Si vous souhaitez déclencher la mise à jour manuellement ou vérifier si vous êtes déjà protégé, vous devez jeter un œil aux paramètres du navigateur et dans le menu à gauche « À propos de Google Chrome » appel.
Le huitième correctif zero-day pour Chrome cette année
Selon BleepingComputer, il s’agissait du huitième correctif zero-day pour Google Chrome en 2022. Cela montre une fois de plus que les navigateurs plébiscités par les utilisateurs sont aussi d’autant plus intéressants pour les attaquants.
Les sept vulnérabilités zero-day précédentes étaient :
CVE-2022-3723 – 28 octobre
CVE-2022-3075 – 2 septembre
CVE-2022-2856 – 17 août
CVE-2022-2294 – 4 juillet
CVE-2022-1364 – 14 avril
CVE-2022-1096 – 25 mars
CVE-2022-0609 – 14 févrierordinateur qui saigne
Fondamentalement, tous les utilisateurs de Chrome sont invités à mettre à jour leur navigateur dès que possible. Parce qu’une vague de nouvelles tentatives d’attaque n’est qu’une question de temps, surtout après les rapports sur cette vulnérabilité.
Quiconque utilise activement Google Chrome et souhaite faire bouger son navigateur pour un changement devrait également consulter cet article.