Google rappelle à tous les utilisateurs de Chrome, Edge ou d’autres navigateurs Chromium de se mettre à jour dès que possible après la découverte d’une vulnérabilité dans V8.
V8 est le moteur JavaScript de Chrome, Edge et d’autres navigateurs Chromium tels qu’Opera ou Brave. Il est aussi utilisé dans Node.js, côté serveur, mais rien n’est encore clair à ce sujet. Google ne communique pas de détails, car la vulnérabilité a été découverte alors qu’elle avait déjà été largement exploitée par des pirates.
Les détails ne suivront que lorsqu’un nombre suffisant d’utilisateurs auront mis à jour leurs navigateurs internet et que toutes les parties tierces utilisant le même moteur Chromium auront patché leurs navigateurs.
La vulnérabilité est désignée par le code CVE-2022-1096 : Type Confusion dans V8. Le 23 mars, la fuite a été signalée par un utilisateur anonyme.
Mettez donc à jour Chrome aujourd’hui vers la version 99.0.4844.84 sur Windows, macOS et Linux. Microsoft a également atténué la vulnérabilité et pousse tous les utilisateurs vers la version 99.0.1150.55.
Pourquoi tant de jours zéro ?
Adrian Tayler, responsable du programme technique au sein de l’équipe chargée de la sécurité de Chrome, a déclaré dans un article de blog publié au début de l’année que le nombre de jours zéro continuerait à augmenter fortement. « Cela peut sembler inquiétant, mais je suis convaincu que c’est une bonne chose, car cela montre que nous découvrons et atténuons un plus grand nombre d’entre eux. » Il souligne que l’interprétation des tendances relatives aux fuites de type « zéro day » sera toujours délicate, parce qu’on ne les découvre pas toujours.
Quatre raisons expliquent pourquoi le nombre de fuites de type « zéro jour » a fortement augmenté en 2021 et suit la même tendance en 2022. Les fabricants de navigateurs sont plus transparents que jamais lorsqu’il s’agit de rendre les bogues publics, ce qui signifie qu’ils sont plus nombreux à être découverts. Un deuxième facteur est la disparition d’Adobe Flash Player. Cela peut sembler contradictoire, mais Tayler note que les pirates se concentrent désormais davantage sur le navigateur lui-même.
Un troisième élément est la popularité du moteur Chromium, qui est désormais omniprésent parmi les navigateurs internet (à l’exception de Safari et Firefox). Après tout, les pirates visent une cible populaire. Enfin, les navigateurs internet deviennent de plus en plus complexes, ce qui augmente le risque de vulnérabilités potentielles.