Google a sorti une mise à jour de son navigateur Chrome qui vient boucher une nouvelle faille de sécurité de type zero-day. C’est la septième en 2022, la précédente remonte à début septembre.
La faille de sécurité de haute gravité (qui a pour identifiant CVE-2022-3723) se situe dans le moteur JavaScript V8 de Chrome, découverte et signalée à Google par les analystes d’Avast. « Google a pris connaissance de rapports indiquant qu’un exploit pour CVE-2022-3723 existe dans la nature », souligne la société. Autrement dit, des hackers exploitent la faille.
Pour le moment, Google ne partage aucun élément sur la faille, le temps que suffisamment d’utilisateurs installent la mise à jour 107.0.5304.87/88 de Chrome. Celle-ci inclut un correctif. « L’accès aux détails et aux liens des failles peut être maintenu restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif », indique Google. « Nous conserverons également des restrictions si la vulnérabilité existe dans une bibliothèque tierce dont d’autres projets dépendent de manière similaire, mais qui n’a pas encore été corrigée », ajoute le groupe.
Au vu de la brève description de Google évoquant le JavaScript, la faille peut potentiellement permettre à un hacker de lire des informations sensibles de différents logiciels, de provoquer des plantages ou d’exécuter du code arbitraire. Il faudra toutefois attendre la publication complète des détails pour réellement savoir quelle est la faille.
Voici le calendrier des failles de sécurité de type zero-day concernant Google Chrome en 2022 :
- CVE-2022-3075 – 2 septembre
- CVE-2022-2856 – 17 août
- CVE-2022-2294 – 4 juillet
- CVE-2022-1364 – 14 avril
- CVE-2022-1096 – 25 mars
- CVE-2022-0609 – 14 février
