Les exploits zero-day sont au sommet des risques de sécurité en ligne, car ces exploits exposent les données de millions d’utilisateurs en ligne et sont activement exploités dans des cyberattaques. Google a récemment corrigé son 7e exploit zero-day dans Google Chrome et exhorte ses utilisateurs à mettre à jour leurs navigateurs immédiatement.
La vulnérabilité, identifiée comme CVE-2022-3723, implique une collection de bibliothèques principales appelées Mojo. Chaque navigateur basé sur Chromium utilise ces bibliothèques, y compris Opera, Brave et Microsoft Edge. Google a agi rapidement pour résoudre cette vulnérabilité critique de Google Chrome, en publiant une mise à jour d’urgence dans les 48 heures suivant le rapport. La mise à jour résolvant ce problème est en cours de déploiement sur Google Chrome version 105.0.5195.102. Google retient les informations exactes sur le correctif de sécurité jusqu’à ce que la plupart des utilisateurs aient mis à jour leur navigateur vers la dernière version.
Qu’est-ce qu’un exploit zero-day ?
Un exploit zero-day est une cyberattaque ciblant une vulnérabilité logicielle inconnue d’un éditeur de logiciels comme Google. Les attaquants identifient une vulnérabilité logicielle et créent un exploit pour l’utiliser pour une attaque. Les attaques sont susceptibles de réussir car les défenses ne sont pas en place. Cela fait des attaques zero-day une grave menace pour la sécurité. Les cibles les plus courantes de ces attaques sont les navigateurs Web tels que Chrome.
Qu’est-ce que CVE-2022-3723 ?
Un chercheur en sécurité anonyme a soumis cette vulnérabilité à Google. Les chercheurs en sécurité d’Avast ont ensuite confirmé le rapport le 25 octobre. CVE-2022-3723 est un problème de”confusion de type”avec le moteur JavaScript V8 de Chrome.
Cette catégorie de vulnérabilité présente un risque élevé pour les données de l’utilisateur, car les pirates peuvent utiliser l’erreur de”confusion de type”pour confondre système et renvoie une erreur d’accès mémoire hors limites. Permettant ainsi aux programmes suspects d’accéder à des parties de la mémoire de l’appareil qui n’auraient pas été possibles auparavant. Ce qui pourrait les amener à prendre le contrôle du système des utilisateurs et à parcourir des données d’application sensibles.
Il s’agissait de la septième vulnérabilité zero-day découverte et corrigée cette année en tant que rapporté par Bleeping Computer. Le dernier patch annoncé est arrivé en juillet. L’exploit CVE-2022-2294 était utilisé pour espionner les journalistes du monde entier.
Comment mettre à jour Chrome
Pour lutter contre l’exploit du jour zéro, Google nous exhorte à mettre à jour Chrome immédiatement. La mise à jour de Chrome sur Mac ou Windows est la même. Sur leur bureau, les utilisateurs peuvent mettre à jour Chrome en allant dans Paramètres, puis À propos de Google Chrome et en installant la dernière mise à jour.
Sur Android, les utilisateurs peuvent se rendre sur le Google Play Store, accéder à Gérer les applications et l’appareil et recherchez les mises à jour pour Google Chrome. De même, sur iOS, les utilisateurs peuvent ouvrir l’App Store, appuyer sur leur profil, faire défiler jusqu’à”Mises à jour disponibles”et rechercher Google Chrome.