Google publie une mise à jour de son navigateur Chrome. Elle est estampillée 104.0.5112.101 pour Mac et Linux, et 104.0.5112.102 / 101 pour Windows avec Google qui évoque un déploiement au cours des prochains jours ou semaines.
Pourtant, il est plus sage de procéder à une mise à jour sans tarder via une sollicitation manuelle dans les paramètres (Aide et À propos de Google Chrome). Ce sont en effet 11 vulnérabilités de sécurité qui sont corrigées, et une pour laquelle un code d'exploitation se balade.
La vulnérabilité CVE-2022-2856 a été signalée par des chercheurs en sécurité du Threat Analysis Group de Google le 19 juillet dernier, dont Ashley Shen qui recommande d'appliquer la mise à jour mais n'entre pas dans les détails.
The Chrome 0day (CVE-2022-2856) that me and @0xbadcafe1 found ITW is patched in the latest release. Update your Chrome to make sure you are protected. https://t.co/WUW8hi5qkA
— Ashley Shen (@ashl3y_shen) August 17, 2022
Il faudra attendre un certain niveau de déploiement du correctif de sécurité pour en savoir davantage sur la vulnérabilité et l'exploit en rapport. À ce stade, il est seulement fait publiquement mention d'une " validation insuffisante des entrées non fiables dans Intents. "
Naked Security (Sophos) explique que la vulnérabilité affecte un mécanisme " permettant de déclencher des applications directement à partir d'une page web, dans lequel les données de la page web sont transmises à une application externe qui est lancée pour traiter ces données. "
Un exploit existe dans la nature...
C'est la cinquième fois depuis le début de cette année que Google corrige une vulnérabilité déjà activement exploitée dans Chrome. Une tendance à la hausse ces derniers temps, comme l'a reconnu Google avec l'alerte " un exploit existe dans la nature " qui devient plus fréquente. Et cela ne concerne pas seulement Chrome qui est toutefois particulièrement touché.
Google avance plusieurs explications comme une meilleure efficacité dans la découverte d'attaques de type 0-day, la popularité de Chromium - Microsoft Edge utilise par exemple aussi le moteur de rendu Chromium - qui devient une cible de choix pour les attaquants.
Google souligne en outre que des attaques qui pouvaient être accomplies auparavant avec un seul bug nécessitent désormais plusieurs bugs, et ajoute que la complexité des navigateurs implique davantage de bugs.
" Les navigateurs reflètent de plus en plus la complexité des systèmes d'exploitation. Ils donnent accès aux périphériques, système de fichiers, rendu 3D et aux GPU. Et plus de complexité signifie plus de bugs. "
