Google diffuse une mise à jour de son navigateur Google Chrome afin de corriger un total de 26 vulnérabilités de sécurité. Parmi celles-ci, une vulnérabilité CVE-2022-0289 est annoncée critique. Depuis le début de cette année 2022, il s'agit de la deuxième vulnérabilité critique corrigée pour Chrome et toujours dans le cadre d'une même version 97 du navigateur.
Pour une vulnérabilité affectant Google Chrome, le niveau de dangerosité critique est attribué quand un attaquant peut l'exploiter afin d'exécuter du code arbitraire sur la plateforme sous-jacente avec les privilèges de l'utilisateur lors du cours normal d'une navigation.
Google s'évertue à déployer un patch idoine pour tous les utilisateurs en moins de 30 jours après la découverte d'un bug de sécurité critique. Des détails techniques sont divulgués dans un délai de 60 jours, voire 7 jours s'il existe des preuves d'une exploitation active dans des attaques. Ce n'est pas le cas pour la faille CVE-2022-0289.
Vulnérabilité d'exécution de code à distance dans Safe Browsing
Cette vulnérabilité critique a été signalée par un chercheur en sécurité du Project Zero de Google. Il est fait mention d'un bug User After Free dans Safe Browsing. Ce type de bug peut résulter d'un problème de réinitialisation d'un pointeur après la libération de la mémoire.
Pour Safe Browsing, c'est une technologie qui alerte les utilisateurs lors d'une tentative de navigation sur des sites jugés dangereux ou pour le téléchargement de fichiers dangereux. Les webmasters sont également prévenus lorsque leurs sites sont compromis par des attaquants.
Faute de détails pour le moment, l'impact pour d'autres navigateurs s'appuyant sur le service Safe Browsing - Google propose une API - n'est pas clair.
