Qu’est-ce qui vient juste de se passer? Google vient de publier une mise à jour de sécurité d’urgence pour corriger une vulnérabilité récemment découverte dans le navigateur Web Chrome. L’exploit basé sur le dépassement de mémoire tampon a été découvert par Clément Lecigne, membre du Google Threat Analysis Group (TAG). Google a reconnu le problème et s’est engagé à ne pas divulguer plus de détails sur la vulnérabilité jusqu’à ce que le correctif soit largement déployé.

La nouvelle vulnérabilité, classée comme CVE-2022-4135est un débordement de tampon de tas problème dans le GPU qui peut entraîner un accès non autorisé aux informations par des acteurs malveillants, induire une instabilité de l’application ou potentiellement donner l’autorisation d’exécuter du code arbitraire sur la machine cible.

Le TAG de Google a reconnu la vulnérabilité dans une récente mise à jour de canal stable qui a été déployée pour empêcher toute exploitation ultérieure. Les ingénieurs de Google ont mis à jour le canal stable 107.0.5304.121 pour les systèmes Mac et Linux ainsi que le canal 107.0.5304.121/.122 pour les systèmes Windows. Une liste de toutes les mises à jour et notes de version associées peut être trouvée dans la version de Chromium journaux.

Cette découverte marque la huitième vulnérabilité zero-day du géant du logiciel en 2022. Les vulnérabilités précédemment corrigées comprenaient :

2022 11 25 image 5

Le débordement de tas peut fournir aux attaquants la possibilité d’augmenter les pointeurs fonctionnels au sein d’une application, au lieu de les diriger vers un code malveillant déployé arbitrairement. La condition est le résultat d’un écrasement de la mémoire tampon dans la partie tas de la mémoire d’un système.

La décision de Google de ne pas partager immédiatement les détails de l’exploit est une pratique standard destinée à minimiser l’utilisation et l’impact de la vulnérabilité. En ralentissant la compréhension et la prise de conscience des détails de la vulnérabilité, les utilisateurs ont plus de temps pour corriger et mettre à jour leurs navigateurs avant que l’exploit ne puisse être exploité. Il offre également aux développeurs de bibliothèques tierces très utilisées la possibilité de corriger la vulnérabilité, limitant davantage l’exploitabilité.

“L’accès aux détails du bogue et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore corrigé .” -Prudhvikumar Bommana

Il est conseillé aux utilisateurs de Chrome de mettre à jour leur navigateur dès que possible et de surveiller tous les autres navigateurs basés sur Chromium pour des mises à jour similaires une fois publiées.