Le navigateur Google Chrome est à mettre à jour afin de corriger une dizaine de vulnérabilités de sécurité. Parmi celles-ci, une vulnérabilité CVE-2022-0609 à la dangerosité dite élevée par Google fait l'objet d'une exploitation dans des attaques.

Il s'agit de la première vulnérabilité 0day corrigée pour Chrome depuis le début de cette année 2022. Elle a été activement exploitée avant la disponibilité d'un correctif. À ce stade et en attendant un plus ample déploiement de la mise à jour, les détails sont maigres.

Il est fait allusion à une vulnérabilité de type Use After Free dans le composant Animation. Un tel bug peut être en rapport avec un problème de réinitialisation d'un pointeur après la libération de la mémoire. Cela peut provoquer un plantage, l'utilisation de valeurs inattendues ou une exécution de code.

chrome-mise-jour-securite

Des statistiques de Project Zero

La vulnérabilité a été découverte par des membres du Threat Analysis Group de Google. D'après un rapport de Project Zero de Google, les éditeurs ont mis en moyenne 52 jours en 2021 pour corriger des vulnérabilités signalées par cette équipe de hackers. Une moyenne en progrès qui était de 80 jours il y a trois ans.

Entre 2019 et 2021, Project Zero a signalé 376 bugs de sécurité à des éditeurs, dont plus de 93 % ont été corrigés. La plupart des vulnérabilités sont concentrées autour de quelques fournisseurs avec 96 bugs signalés à Microsoft (26 %), 85 à Apple (23 %) et 60 à Google (16 %).

Linux, Mozilla et Google sont crédités des temps de correction moyens les plus rapides. Oracle, Microsoft et Samsung sont en queue de peloton. En matière de navigateurs, Chrome a une période moyenne de correction des bugs de 29,9 jours. Elle est de 37,8 jours pour Firefox et 72,7 jours avec WebKit qui est notamment utilisé par Safari.