Et de 8. Pour la huitième fois cette année, Google colmate en mode pompier Chrome pour desktop en raison d’une vulnérabilité critique activement exploitée. Connue sous la classification CVE-2022-4135, elle entraîne un dépassement de tampon des tas (heap buffer overflow) dans les GPU. Cette brèche a été découverte par Clément Lecigne, membre du Threat Analysis Group de Google en début de semaine.
En général, les pirates peuvent utiliser le débordement de tampon de tas pour écraser la mémoire d'une application et manipuler son chemin d'exécution, ce qui entraîne un accès illimité aux informations ou une exécution de code arbitraire.
Une correction sans précisions
Google est resté cependant très vague sur cette faille. « L'accès aux détails et aux liens relatifs au bug peut être restreint jusqu'à ce qu'une majorité d'utilisateurs aient reçu un correctif », précise la société. Elle ajoute, « nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont d'autres projets dépendent de manière similaire, mais qui n'a pas encore été corrigée. Il n’en demeure pas moins que la firme de Mountain View souligne « qu’un exploit pour la CVE-2022-4135 circule aujourd’hui ».
Il est donc fortement recommandé aux utilisateurs de Chrome de passer à la version 107.0.5304.121/122 pour Windows et 107.0.5304.122 pour Mac et Linux, qui corrige la CVE-2022-4135. Pour rappel, l'éditeur a déjà corrigé 7 failles zero days en urgence pour l’année 2022.