10 vulnérabilités critiques dans Google Chrome

La nouvelle mise à jour de Chrome corrige 10 vulnérabilités critiques et une dizaine de bugs moins dangereux. Il est temps de mettre à jour votre navigateur !

10 vulnérabilités critiques dans Google Chrome
Mise à jour du 7 avril : Un des chercheurs internes de Google a découvert une autre vulnérabilité critique (CVE-2022-1232) dans Chrome le 30 mars. Elle a été corrigée quelques jours plus tard. Cette faille est aussi une vulnérabilité Type Confusion dans le moteur V8 de Chrome. Comme d’habitude, Google n’a pas encore communiqué plus de détails. Cela étant dit, vous devez mettre à jour votre navigateur Chrome et installer la version 100.0.4896.75 dès que possible, que vous utilisiez Windows, Mac ou Linux.

Google a corrigé 28 vulnérabilités avec la nouvelle mise à jour 100.0.4896.60 de son navigateur Chrome. Au moins 9 d’entre elles sont critiques, et ces failles viennent s’ajouter à la vulnérabilité CVE-2022-1096, extrêmement dangereuse, que Google a corrigée quelques jours auparavant en lançant une mise à jour supplémentaire. Ainsi, les développeurs de Chrome ont publié 10 correctifs de failles très dangereuses en moins d’une semaine. En d’autres termes, si vous n’avez pas redémarré votre ordinateur ou votre navigateur depuis un certain temps, vous devez installer ces mises à jour.

La vulnérabilité CVE-2022-1096

Google n’a pas encore publié de détails sur les vulnérabilités. Selon la politique de sécurité de l’entreprise, l’accès à la description détaillée des bugs est restreint jusqu’à ce que la majorité des utilisateurs actifs ait mis à jour leur navigateur. Il est évident que la vulnérabilité CVE-2022-1096 (celle que Google a corrigé le 25 mars avec un patch additionnel et seulement quatre jours avant sa mise à jour majeure) pouvait causer de vrais problèmes.

CVE-2022-1096 appartient à la catégorie des vulnérabilités Type Confusion, ce qui signifie que la faille est liée à une erreur dans la gestion des types de données du moteur V8. Cette faille est particulièrement dangereuse puisque Google a jugé nécessaire de corriger ce bug séparément et de publier un patch de toute urgence. De plus, selon les informations communiquées lors de la sortie du correctif, Google savait déjà qu’un exploit de cette vulnérabilité existait le 25 mars. Le lendemain, Microsoft a corrigé cette même vulnérabilité dans son navigateur Edge basé sur Chromium. Avec toutes ces informations, il est raisonnable de croire que l’exploit de cette vulnérabilité existe et qu’il est activement exploité par les cybercriminels.

28 nouvelles failles

Sur les 28 vulnérabilités que cette dernière mise à jour corrige, la plupart (20) ont été découvertes par des chercheurs indépendants, alors que les experts internes de Google ont signalé les 8 autres. Parmi les 9 vulnérabilités critiques, quatre (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) sont du type use-after-free, trois (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) sont liées à des implémentations inappropriées dans plusieurs composants, une autre (CVE-2022-1130) est due à une validation insuffisante des données non fiables dans WebOTP, alors que la dernière (CVE-2022-1134), tout comme CVE-2022-1096, est un problème qui appartient à la catégorie Type Confusion dans le moteur V8.

Comment vous protéger ?

Tout d’abord, vous devez mettre à jour votre navigateur pour installer la dernière version : 100.0.4896.60 au moment où cet article a été rédigé. Si vous utilisez une version de Chrome plus ancienne, cela signifie que votre navigateur ne s’est pas automatiquement mis à jour. Dans ce cas, nous vous conseillons d’installer la mise à jour manuellement en suivant nos instructions. N’oubliez pas de mettre à jour Microsoft Edge si vous l’utilisez. La procédure à suivre est la même que pour Google Chrome.

Nous vous conseillons également de suivre l’actualité et de mettre à jour les programmes critiques dès que possible, comme les solutions de sécurité, les navigateurs, les suites de bureautique et le système d’exploitation.
De plus, nous vous recommandons d’installer des solutions de sécurité fiables qui peuvent automatiquement détecter et interrompre les attaques qui essaient d’exploiter les vulnérabilités. Vous êtes ainsi protégé contre ces attaques avant même la sortie des correctifs.

Conseils