Décidément, il y a plusieurs failles de type de zero-day ces derniers temps avec Chrome. Google annonce avoir bouché la 9e de 2022. Pour rappel, la 8e avait été corrigée à la fin novembre.
La 9e faille zero-day de Chrome a pour identifiant CVE-2022-4262. Des hackers l’ont déjà exploitée, d’où l’importance de mettre à jour le navigateur pour éviter de mauvaises surprises.
La faille CVE-2022-4262 est due à une faiblesse de type confusion de haute gravité dans le moteur JavaScript de Chrome, qui a pour nom V8. Elle a été signalée par Clément Lecigne du Threat Analysis Group chez Google.
Même si les failles de sécurité de type confusion entraînent généralement le plantage du navigateur après une exploitation réussie par lecture ou écriture de la mémoire hors limites de la mémoire tampon, les hackers peuvent également les exploiter pour l’exécution de code arbitraire.
D’autre part, bien que Google ait déclaré avoir détecté des attaques exploitant cette faille zero-day, l’entreprise n’a pas encore communiqué de détails techniques ou d’informations concernant ces incidents. « L’accès aux détails et aux liens des failles peut être restreint jusqu’à ce qu’une majorité d’utilisateurs ait reçu une correction. Nous maintiendrons également des restrictions si la vulnérabilité existe dans une bibliothèque tierce dont d’autres projets dépendent également, mais qui n’a pas encore été corrigée », précise Google.
La mise à jour de Chrome sur Windows avec le correctif a pour version 108.0.5359.94/.95. Sur Mac et Linux, c’est 108.0.5359.94.
