Google met à jour Chrome pour écraser WebRTC Zero Day • The Register

Cheryl Allison

Google a publié une mise à jour inattendue de son navigateur Chrome pour corriger une faille WebRTC zero-day qui est activement exploitée.

Le coupable est CVE-2022-2294, et est un problème dans WebRTC – le code qui imprègne les navigateurs de capacités de communication en temps réel.

Les détails de la faille, numéro 1341043, ne sont actuellement pas détaillés dans le journal des bogues du projet Chromium, et les détails de la CVE n’ont pas été publiés au moment de la rédaction. Mais Google notification d’une nouvelle version du navigateur le décrit comme suit : “Heap buffer overflow in WebRTC. Reported by Jan Vojtesek from the Avast Threat Intelligence team on 2022-07-01.”

Le correctif installe Chrome 103.0.5060.114 pour Windows et Chrome 103.0.5060.71 pour Android, qui apparaîtront bientôt.

Google affirme que la faille fait l’objet d’une attaque active, mais n’offre aucun aperçu de la manière dont on pourrait la détecter ou s’en défendre autrement qu’en mettant à jour Chrome. Compte tenu de la nature et de l’objectif de WebRTC, il est probablement préférable de ne pas utiliser les outils de communication basés sur un navigateur jusqu’à ce que vous puissiez mettre à jour.

Les mises à jour de Chrome corrigent également d’autres défauts, à savoir :

  • CVE-2022-2295, une confusion de type dans le moteur JavaScript V8 utilisé dans Chrome ;
  • CVE-2022-2296, une utilisation après une erreur gratuite dans Chrome OS Shell ;

Les trois défauts sont classés en gravité élevée.

La publication de nouvelles versions de Chrome est la quatrième fois en 2022 que Google a besoin de publier des correctifs d’urgence. Heureusement, Chrome se met à jour avec peu d’interventions de la part de l’utilisateur, de sorte que plusieurs millions d’utilisateurs du logiciel devraient être protégés de ces derniers problèmes en peu de temps. Qu’ils soient en sécurité à long terme est une autre question.

La faille WebRTC a été signalée le 1er juillet et la notification de Google concernant les mises à jour de Chrome pour la corriger est datée du 4 juillet, ce qui suggère que les membres de l’équipe Chrome ont perdu un week-end à préparer le correctif et l’ont fait avec une vitesse décente. Mais les mauvais acteurs peuvent faire beaucoup de bêtises en trois jours… ®

Next Post

Un programmeur obtient une vidéo YouTube à lire sur un ordinateur Commodore PET de 40 ans

Les ordinateurs YouTube et Commodore PET ne sont pas synonymes, mais un programmeur a réussi à faire jouer une vidéo sur un appareil vieux de 40 ans. C’est vrai, Thorbjörn Jemander a trouvé un Commodore PET 600 avec 128 Go de mémoire et un écran CRT vert monochromatique. Ce dernier […]