Google Chrome fait l’objet d’une attaque sur Windows et Android. Google a publié une mise à jour de sécurité d’urgence pour Chrome, car l’entreprise corrige une vulnérabilité de type 0-day dans le navigateur. Alors que peu de détails ont été offerts, la vulnérabilité est déjà exploitée, Google exhortant évidemment ses utilisateurs à installer la dernière mise à jour dès que possible.
La bonne nouvelle, c’est qu’un correctif est déjà disponible sous la forme de la version 103.0.5060.114 de Google Chrome pour Windows (Chrome 103.0.5060.71 sur Android). Google Chrome installe automatiquement les mises à jour, mais l’installation peut prendre jusqu’à 24 heures, et Chrome ne redémarre pas automatiquement après l’installation d’une mise à jour ; il vous invite à redémarrer votre navigateur.
À l’heure où un exploit circule en ligne, je ne vous conseille pas de naviguer sur la toile sans effectuer une mise à jour. Je vous recommande d’installer la mise à jour immédiatement et de redémarrer Chrome sans attendre le processus automatique.
Selon Google lui-même, la nouvelle mise à jour du navigateur vient résoudre trois vulnérabilités de sécurité différentes, qui sont toutes classées avec un indice de gravité élevé.
- Haute CVE-2022-2294 : Débordement de tampon de tas dans WebRTC. Signalé par Jan Vojtesek de l’équipe Avast Threat Intelligence le 2022-07-01
- Élevé CVE-2022-2295 : Confusion de types dans V8. Signalé par avaue et Buff3tts de S.S.L. le 2022-06-16
- Haute CVE-2022-2296 : Utilisation after free dans Chrome OS Shell. Signalé par Khalil Zhani le 2022-05-19
La première d’entre elles est actuellement exploitée, selon Google. La faille de sécurité de type « zero-day » implique un dépassement de tampon dans WebRTC, une norme de communication en temps réel prise en charge par tous les principaux navigateurs. Elle est utilisée pour créer des applications de communication audio et vidéo sur les sites Web. Il est très possible que la faille permette à un site Web malveillant de prendre le contrôle de votre PC.
Une réelle problématique
Google Chrome est actuellement le navigateur numéro un dans le monde, et il va sans dire que toute potentielle faille de sécurité pourrait donc affecter des millions d’utilisateurs. Selon l’analyse des parts de marché, Chrome contrôle entre 65 et 70 % du marché (y compris ici à la fois le bureau et le mobile). Microsoft Edge est le deuxième choix le plus populaire sur le bureau, avec une part d’environ 10 %, même s’il convient de garder à l’esprit que le navigateur de Microsoft a également adopté le moteur Chromium.
Dans le même temps, Microsoft Edge est également préchargé avec les versions modernes de Windows, telles que Windows 10 et Windows 11, de sorte qu’il est proposé comme navigateur par défaut aux utilisateurs du système d’exploitation de Microsoft.
Le rival le plus populaire de Google Chrome sur mobile est évidemment Safari, car l’application d’Apple est proposée comme choix par défaut sur les iPhone (ainsi que sur macOS).
