CVE-2022-3723. C'est l'identifiant de la faille de sécurité combinée sur le navigateur Chrome. Classée au rang des vulnérabilités critiques, cette dernière était utilisée et se basait sur un bug de confusion lié au moteur Javascript Chrome V8, précise le site spécialisé Bleeping Computer. Une faille découverte et signalée à Google par des chercheurs œuvrant pour Avast.
Mettez Chrome à jour rapidement…
« Google a été informé qu'un programme d'exploitation pour la faille CVE-2022-3723 existait dans la nature », précisent les chercheurs d'Avast sans entrer plus dans les détails concernant cette vulnérabilité. On sait simplement que le problème a été signalé à Google suffisamment en amont de sa publication publique pour laisser au géant californien et ses développeurs le temps d'agir. Cette faille a donc été corrigée avec Google Chrome version 107.0.5304.87 / 88.
« L'accès aux détails et aux liens relatifs aux bugs peut être restreint jusqu'à ce que la majorité des utilisateurs aient reçu un correctif », ont demandé sobrement les chercheurs en sécurité d'Avast dont les propositions nous sont rapportées. « Nous conservons également des restrictions si le bug existe dans une bibliothèque tierce dont d'autres projets dépendent également, mais qui n'a pas encore été corrigé ». De son côté Google reste lui aussi discret, notamment sur les degrés d'activité observés sur le programme d'exploitation de ladite faille.
7 vulnérabilités découvertes sur Chrome depuis début 2022
Comme l'explique Bleeping Computer, les vulnérabilités liées à des bugs de confusion permettent en général d'obtenir un accès hors limite à la mémoire. En accédant aux régions de la mémoire qui ne devraient pas être accessibles dans le contexte d'utilisation normale d'une application, un hacker peut lire certaines informations sensibles d'autres applis, provoquant des plantages ou encore activé du code arbitraire, lit- sur.
Notons que c'est la septième faille de sécurité critique découverte et corrigée sur Chrome cette année. Certaines failles antérieures avaient été exploitées, parfois pendant plusieurs semaines, par des pirates parrainés par certains États.
En ce qui concerne le patch de correction de la faille CVE-2022-0609, vous pouvez (au besoin) en forcer l'installation depuis les réglages du navigateur, sous l'onglet « À propos » de Chrome.