Google a annoncé un remplacement pour le navigateur Chrome qui comporte 32 correctifs de sécurité. Le classement de gravité pour l’une des nombreuses vulnérabilités corrigées est Essentiel.
Le canal sécurisé a été promu à 102.0.5005.61/62/63 pour Windows et 102.0.5005.61 pour Mac et Linux.
Essentiel
Google qualifie les vulnérabilités de vitales si elles permettent à un attaquant d’exécuter du code arbitraire sur la plate-forme sous-jacente avec les privilèges du consommateur dans le cours normal des achats.
Les failles de sécurité des ordinateurs portables divulguées publiquement sont répertoriées dans la base de données des vulnérabilités et expositions fréquentes (CVE). Son objectif est de simplifier le partage des connaissances à travers des capacités de vulnérabilité distinctes (instruments, bases de données et entreprises).
Cette mise à jour corrige la vulnérabilité vitale répertoriée comme CVE-2022-1853: Utiliser après free dans Listed DB.
Use after free (UAF) est une vulnérabilité résultant d’une utilisation incorrecte de la mémoire dynamique tout au long du fonctionnement d’un programme. Si après avoir libéré un emplacement de réminiscence, un programme n’efface pas le pointeur vers cette réminiscence, un attaquant peut utiliser l’erreur pour contrôler ce système.
IndexedDB est une interface de programmation utilitaire (API) de bas niveau pour le stockage côté client de grandes quantités de connaissances structurées, ainsi que d’informations. Cette API utilise des index pour permettre des recherches d’une efficacité excessive de ces connaissances. Alors que le stockage Doc Object Mannequin (DOM) est avantageux pour stocker de plus petites quantités de connaissances, IndexedDB donne une réponse pour stocker de plus grandes quantités de connaissances structurées.
Chaque base de données IndexedDB est exclusive à une origine (généralement, c’est la zone de positionnement ou le sous-domaine), ce qui signifie qu’elle ne doit pas être accessible par une autre origine.
Google ne divulgue pas de détails sur les vulnérabilités tant que les utilisateurs n’ont pas eu suffisamment d’alternative pour installer les correctifs, donc je peux très bien lire cette erreur. Cependant, je suppose qu’un attaquant pourrait assembler un site Web spécialement conçu et prendre le contrôle du navigateur du client en manipulant IndexedDB.
Différentes vulnérabilités
Sur les 31 vulnérabilités restantes, Google en a classé 12 comme Excessif. Des vulnérabilités de gravité excessive permettent à un attaquant d’exécuter du code dans le contexte de, ou dans tout autre cas d’usurper l’identité, d’origines différentes.
13 autres vulnérabilités ont été classées comme Moyen. Les bogues de gravité moyenne permettent aux attaquants d’apprendre ou de modifier des quantités limitées d’informations, ou qui ne sont pas dangereuses en elles-mêmes mais probablement dangereuses lorsqu’elles sont mélangées à d’autres bogues.
Ce qui laisse six vulnérabilités qui ont été classées comme Bas. Les vulnérabilités de faible gravité sont généralement des bogues qui peuvent généralement être d’une meilleure gravité, mais qui ont des éléments d’atténuation excessifs ou une portée extrêmement restreinte.
remplacer
Si vous êtes un utilisateur de Chrome sur Windows, Mac ou Linux, vous devez remplacer le modèle 101.0.4951.41 dès que possible.
La méthode la plus simple pour remplacer Chrome consiste à lui permettre de remplacer mécaniquement, ce qui utilise la même méthode que celle décrite ci-dessous, mais ne vous oblige pas à faire quoi que ce soit. Mais vous pouvez vous retrouver à bloquer les mises à jour informatisées pour ceux qui ne ferment jamais le navigateur, ou si quelque chose se passe mal, cela rappelle une extension vous empêchant de mettre à jour le navigateur.
Donc, ça ne fait pas de mal de vérifier de temps en temps. Et maintenant pourrait être un moment superbe, compte tenu de la gravité des vulnérabilités répertoriées.
Ma technique la plus populaire consiste à faire en sorte que Chrome ouvre la page Web chrome://paramètres/assistance que vous pouvez également découvrir en cliquant Paramètres > À propos de Chrome.
S’il peut y avoir un remplacement, Chrome vous en informera et commencera à le télécharger. Ensuite, tout ce que vous avez à faire est de relancer le navigateur pour vous assurer que le remplacement est terminé.
Il est préférable de voir ensuite le message “Chrome est mis à jour”.
Techniques concernées :
- Versions de Google Chrome pour Windows Home antérieures à 102.0.5005.61/62/63
- Versions de Google Chrome pour Mac et Linux antérieures à 102.0.5005.61
Restez en sécurité, tout le monde !