ClickCease Google publie une mise à jour de Chrome pour corriger une nouvelle faille de type "zero-day" - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Google publie une mise à jour de Chrome pour corriger une nouvelle faille de type "jour zéro".

16 septembre 2022 - L'équipe de relations publiques de TuxCare

Google a publié un patch d'urgence pour corriger une vulnérabilité de type "zero-day" exploitée dans la nature. Répertoriée sous le nom de CVE-2022-3075, la faille zero-day a été découverte et signalée le 30 août 2022 par un chercheur anonyme.

La faille est une validation insuffisante des données dans Mojo. Ce dernier fait référence à une collection de bibliothèques d'exécution qui fournissent un mécanisme indépendant de la plate-forme pour la communication interprocessus (IPC).

Google a admis qu'il "est au courant de rapports selon lesquels un exploit pour CVE-2022-3075 existe dans la nature". Le géant de la technologie n'a cependant pas fourni de détails supplémentaires sur la nature des attaques qui peuvent aider les utilisateurs à empêcher d'autres acteurs de la menace d'exploiter la faille.

Google demande aux utilisateurs de passer à la version 105.0.5195.102 pour Windows, macOS et Linux afin d'atténuer les menaces imminentes. Les utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi sont invités à appliquer les correctifs dès qu'ils sont disponibles.

Cette mise à jour constitue la sixième vulnérabilité de type "zero-day" dans Chrome que Google a corrigée depuis le début de l'année. Les cinq autres failles sont CVE-2022-0609, CVE-2022-1096, CVE-2022-1096, CVE-2022-1364, CVE-2022-2294, CVE-2022-2856.

CVE-2022-0609 est une vulnérabilité de type "user-after-free" dans le composant Animation qui, si elle est exploitée avec succès, peut conduire à la corruption de données valides et à l'exécution de code arbitraire sur les systèmes affectés.
CVE-2022-1096 est une faille zero-day décrite comme une vulnérabilité de type confusion dans le moteur JavaScript V8.

CVE-2022-1364 est similaire à CVE-2022-1096 puisqu'il s'agit également d'une faille de confusion de type dans le moteur JavaScript V8.

CVE-2022-2294 est une faille de débordement de tas dans le composant WebRTC qui fournit des capacités de communication audio et vidéo en temps réel dans les navigateurs sans avoir besoin d'installer des plugins ou de télécharger des applications natives.

CVE-2022-2856 est un cas de validation insuffisante des entrées non fiables dans Intents.

Les sources de cet article comprennent un article de TheHackerNews.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information