03/29 Mise à jour ci-dessous. Cet article a été initialement publié le 26 mars
Google a émis un avertissement de mise à jour urgent à ses milliards d’utilisateurs de Chrome dans le monde. Voici tout ce que vous devez savoir pour rester en sécurité.
Un nouveau piratage de niveau de menace élevé zéro jour a été trouvé dans Google Chrome
LIGHTROCKET VIA GETTY IMAGES
Google a publié l’avertissement sur son blog officiel Chrome, révélant que Chrome sur Windows, macOS et Linux est vulnérable à un nouveau piratage “zero-day” (CVE-2022-1096). Le jour zéro est la forme d’attaque la plus dangereuse, car cela signifie que la vulnérabilité est connue des pirates avant que Google ne puisse publier un correctif. Comme l’admet la société, “Google est conscient qu’un exploit pour CVE-2022-1096 existe dans la nature”. Cela signifie que chaque utilisateur de Chrome est vulnérable.
Mise à jour du 28/03 : Microsoft a maintenant confirmé que le même hack zero-day affecte son navigateur Edge. La société a publié une nouvelle mise à jour sur son Centre de réponse de sécurité confirmant que l’exploit affecte tous les navigateurs basés sur Chromium : “La vulnérabilité attribuée à ce CVE se trouve dans le logiciel Chromium Open Source (OSS) qui est consommé par Microsoft Edge (basé sur Chromium).” Cela signifie que d’autres navigateurs basés sur Chromium, notamment Amazon Silk, Brave, Opera, Samsung Internet (fourni sur ses smartphones Galaxy), Vivaldi et le navigateur Yandex sont tous très susceptibles d’avoir été affectés.
Microsoft confirme également avoir publié un correctif pour Edge basé sur la mise à jour Chromium que Google a déjà lancée pour Chrome. Pour l’obtenir, suivez ces étapes :
- Dans votre navigateur Microsoft Edge, cliquez sur les 3 points (…) tout à droite de la fenêtre
- Cliquez sur ‘Aide et commentaires’
- Cliquez sur ‘À propos de Microsoft Edge’
Microsoft déclare que la version corrigée d’Edge est 99.0.1150.553, donc si votre navigateur affiche un nombre inférieur, vous êtes toujours vulnérable.
Google limite actuellement les informations sur l’exploit pour gagner du temps pour que les utilisateurs de Chrome se mettent à niveau. Au moment de la publication, tout ce que la société a révélé, c’est le niveau de menace (“élevé”), la zone d’attaque et qui l’a découvert (c’était une dénonciation anonyme):
- Haut – CVE-2022-1096 : Confusion de type dans la V8. Signalé par anonyme le 2022-03-23
Mise à jour du 29/03 : les inquiétudes concernant cette vulnérabilité de sécurité continuent de croître. BipOrdinateur rapporte maintenant que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a commandé toutes les agences fédérales à corriger immédiatement l’exploit CVE-2022-1096. La CISA a également ajouté le jour zéro dans son « catalogue de vulnérabilités exploitées connues » et utilise le hashtag #CriticalPatch. En plus de ses avertissements aux agences FCEB, la CISA souligne également que tous les utilisateurs de Chrome des secteurs privé et public doivent se mettre à jour immédiatement pour réduire l’exposition aux cyberattaques en cours.
D’autres sociétés de navigateurs basées sur Chromium suivent également l’exemple de Google et publient des mises à jour d’urgence. Le dernier de Brave notes de version confirmer que la version corrigée de Chromium est disponible pour son navigateur, et tandis que le Opéra et Blogs Vivaldi n’ont pas encore été mis à jour pour répertorier leurs dernières versions, je comprends que les deux navigateurs exécutent la nouvelle version sécurisée de Chromium.
La réalité est que le logiciel est piraté. C’est un jeu continuel du chat et de la souris entre les développeurs et les pirates et le mérite réside principalement dans la collaboration avec des spécialistes de la sécurité pour découvrir et corriger de manière préventive les failles et minimiser le temps pendant lequel un exploit zero-day est disponible avant qu’un correctif ne soit prêt. Avec plus de 3 milliards d’utilisateurs, Chrome/Chromium fait désormais partie des logiciels les plus ciblés au monde et Google en reconnaît le nombre les attaques zero-day se multiplientCela dit, les protocoles de sécurité ont jamais été mieux (avec quelques exceptions notables), bien qu’ils comptent sur les utilisateurs pour maintenir leur logiciel à jour. Ne soyez pas le maillon faible.
V8 est le composant de Chrome qui est responsable du traitement de JavaScript, le moteur au cœur de Chrome, et le hack incite le navigateur à exécuter un type de code différent (dans ce cas, malveillant). Les attaques V8 ont été relativement rares ces derniers mois, mais elles peuvent être parmi les plus dangereuses, si un pirate est capable de créer un exploit réussi.
Après la mise à jour, Chrome doit être redémarré avant que vous ne soyez en sécurité
Gordon Kelly
En réponse, Google a annoncé une mise à jour d’urgence pour Chrome (99.0.4844.84) ”pour Windows, Mac et Linux qui sera déployée au cours des prochains jours/semaines”. Pour vérifier la version de votre navigateur, accédez à Paramètres> Aide> À propos de Google Chrome – cela forcera également Chrome à vérifier les mises à jour. Remarque : vous n’êtes pas protégé tant que vous n’avez pas redémarré le navigateur.
Il s’agit du deuxième hack zero-day de Chrome en 2022, un nombre relativement faible malgré l’avertissement de Google, les hacks zero-day augmentent. N’apportez aucune modification, vérifiez votre navigateur dès maintenant.
___
Suivez Gordon sur Facebook
En savoir plus sur Forbes
Les nouvelles mises à jour Edge, Firefox et Chrome ‘100’ vont casser certains sites Web
Google confirme le nouveau piratage “critique” de Chrome et publie une solution urgente
.