Google et Microsoft proposent des mises à jour d’urgence pour corriger une vulnérabilité critique dans leurs navigateurs. Les pirates exploitent activement cette vulnérabilité, qui permet l’exécution de code à distance dans le moteur Javascript V8. Nous vous suggérons de mettre à jour Chrome et Edge immédiatement pour éviter le problème.
Cette vulnérabilité, appelée CVE-2022-1096, a été signalée à Google par un utilisateur ou un chercheur anonyme. Elle semble affecter tous les navigateurs basés sur Chromium, y compris Opera et Brave. Les détails sur la vulnérabilité sont minces, car Google ne veut pas partager d’informations qui pourraient être utiles aux pirates.
L’accès aux détails et aux liens relatifs aux bogues peut être restreint jusqu’à ce que la majorité des utilisateurs bénéficient d’une correction. Nous maintiendrons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de manière similaire, mais qui n’a pas encore été corrigée.
Nous savons que CVE-2022-1096 permet des attaques par « confusion de type » dans le moteur Javascript V8. Comme tout ce qui touche à Javascript, c’est un peu difficile à expliquer, et Google reste très discret. Voici donc l’essentiel : les pirates peuvent confondre le moteur V8, le forçant à lire et à écrire des données sur votre machine sans autorisation.
Google révélera plus d’informations sur cette vulnérabilité une fois qu’une majorité de ses utilisateurs auront installé la mise à jour d’urgence. L’entreprise attendra également que les autres navigateurs Chromium corrigent le problème. Microsoft Edge est en train de déployer son correctif, mais des concurrents comme Brave et Opera y travaillent encore.
Chrome et Edge sont censés se mettre à jour automatiquement. Cela dit, vous devriez coller chrome://settings/help ou edge://settings/help dans votre barre d’adresse pour vérifier que vous exécutez la version 99.0.4844.84 de Chrome ou la version 99.0.1150.55 de Microsoft Edge.
Source : Google via Forbes
