Le navigateur Google Chrome est à mettre à jour dans le cadre de la correction de trois vulnérabilités de sécurité. Parmi celles-ci, une vulnérabilité 0day pour laquelle Google signale l'existence d'un exploit dans la nature.
Autrement dit, cette vulnérabilité référencée CVE-2022-2294 a fait l'objet d'une exploitation active dans des attaques avant la disponibilité d'un correctif, d'où un caractère d'urgence à agir. C'est la quatrième vulnérabilité 0day qui affecte Chrome depuis le début de cette année.
Comme à son habitude, Google n'entre pas dans les détails du bug de sécurité jusqu'à ce qu'une majorité d'utilisateurs ait reçu le correctif idoine. Il est seulement fait mention d'une faille de type heap buffer overflow dans WebRTC qui est une technologie utilisée pour des communications audio et vidéo en temps réel sur le Web.
Une correction rapide après signalement
La vulnérabilité CVE-2022-2294 a été signalée par un chercheur en sécurité de l'équipe Avast Threat Intelligence le 1er juillet. La correction n'a donc pas traîné après le signalement, ce qui est toujours une bonne chose et évidemment d'autant plus avec un exploit potentiellement dans de mauvaises mains.
À noter que la version pour ordinateur de Google Chrome n'est pas seule affectée par cette vulnérabilité 0day, c'est également le cas de Chrome pour Android. Reste à savoir si elle fait partie d'une plus ou moins vaste campagne d'attaque.
Il est probable que des corrections pour d'autres navigateurs basés sur Chromium sont à venir et donc à surveiller.
