Google publie 11 correctifs pour Chrome – et CISA indique que les utilisateurs doivent les appliquer.
Google a publié des mises à jour de sécurité pour le navigateur Google Chrome pour Windows, Mac et Linux, corrigeant des vulnérabilités qui pourraient permettre à un attaquant distant de prendre le contrôle des systèmes.
Il y a 11 correctifs au total, dont cinq sont classés comme étant de haute gravité. Par conséquent, La CISA a émis une alerte encourager les administrateurs informatiques et les utilisateurs réguliers à installer les mises à jour dès que possible pour garantir que leurs systèmes ne sont pas vulnérables aux failles.
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite
Parmi les vulnérabilités les plus graves corrigées par la mise à jour de Google Chrome figure CVE-2022-2477, une vulnérabilité causée par par une faille d'utilisation après libération dans Guest View, qui pourrait permettre à un attaquant distant d'exécuter du code arbitraire sur les systèmes ou de planter eux.
VOIR: Qu’est-ce que la cybersécurité exactement? Et pourquoi est-ce important ?
Use-after-free est une vulnérabilité résultant d'une utilisation incorrecte de la mémoire dynamique lors de l'exécution de fonctionnement d’une application, libérant un emplacement mémoire par erreur – chose qu’un attaquant peut exploiter.
Une autre vulnérabilité, CVE-2022-2480, est liée à une faille d'utilisation après libération dans l'API Service Worker, qui agit comme un serveur proxy situé entre les applications Web, le navigateur et le réseau afin d'améliorer les expériences hors ligne, entre autres des choses.
La fonctionnalité spécifique à laquelle se rapporte cette vulnérabilité n'a pas encore été divulguée, mais elle peut conduire à une faille de corruption de mémoire si abusé, qui peut être utilisé pour planter des systèmes ou exécuter du code – permettant essentiellement aux attaquants d'installer des logiciels malveillants ou d'abuser de toute autre manière système.
Cela nécessite une certaine sorte d’interaction de l’utilisateur mais, comme pour la plupart des vulnérabilités divulguées dans cette mise à jour, tous les détails n’ont pas encore été rendus publics. Selon Google, cela est dû au fait qu'ils attendent que les utilisateurs appliquent les mises à jour en premier, afin d'être protégés contre toute personne tentant de les exploiter.
"L'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soit mise à jour avec un correctif", a déclaré l'équipe Chrome dans la mise à jour.
"Nous souhaitons également remercier tous les chercheurs en sécurité qui ont travaillé avec nous pendant le cycle de développement pour empêcher les bogues de sécurité d'atteindre le canal stable", ont-ils ajouté.
CISA prévient que les correctifs concernent « des vulnérabilités qu'un attaquant pourrait exploiter pour prendre le contrôle d'un système affecté » et que les mises à jour doivent être appliquées dès que possible.
PLUS SUR LA CYBERSÉCURITÉ
- Des failles dans un traceur GPS populaire pourraient permettre aux pirates de suivre ou d'arrêter des véhicules, affirment des chercheurs en sécurité
- Google Cloud: En matière de cyber-risques, nous sommes tous concernés
- Ce sont les menaces de cybersécurité de demain auxquelles vous devriez penser aujourd'hui
- Il est temps de mettre à jour: Google corrige sept bugs du navigateur Chrome, dont quatre sont classés à risque « élevé »
- Avertissement CISA: les pirates informatiques exploitent ces 36 vulnérabilités « importantes » en matière de cybersécurité – alors corrigez-les maintenant