Passer au contenu

Google corrige en urgence une faille zero-day dans Chrome

Un bug dans le moteur JavaScript est exploité de manière active par des hackers. Il est recommandé de mettre immédiatement à jour le navigateur.

Pour la seconde fois cette année, Google publie un patch de sécurité pour Chrome, dans le but de colmater une faille zero-day (CVE-2022-1096) utilisée de manière active par des pirates. Il s’agit cette fois d’un bug dans le moteur JavaScript V8 du navigateur. La vulnérabilité est du genre « confusion de type », ce qui signifie qu’une variable ou un objet peut accéder à la mémoire sous un type différent que prévu à l’origine. Ce qui peut mener à des dépassements de tampon de mémoire, et donc des exécutions de code arbitraire. Toutefois, Google ne donne aucun autre détail technique.

A découvrir aussi en vidéo :

 

En février dernier, Google avait déjà colmaté une faille zero-day (CVE-2022-0609) dans le module « Animation » de Chrome. Comme le précise un rapport publié il y a quelques jours, cette vulnérabilité a été utilisée par deux groupes de pirates présumés nord-coréens. Le premier, baptisé « Operation Dream Job », a envoyé de fausses annonces de recrutement auprès de 250 personnes dans une dizaine de sociétés américaines : des médias, des hébergeurs, des enregistreurs de noms de domaine, des éditeurs de logiciels.

Le second groupe, « Operation AppleJuice », a diffusé des liens vers de faux sites parlant de cryptomonnaie. Il a ciblé 85 personnes travaillant dans ce secteur économique. Malheureusement, Google n’a pu analyser que le malware dédié à la compromission initiale. On ne sait donc pas quels étaient les objectifs de ces attaques.

Source : Google

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN