Google a publié Chrome 103.0.5060.114 pour les appareils fonctionnant sous Windows. La mise à jour corrige une vulnérabilité utilisée en pratique par les hackers. Pour la quatrième fois cette année, Google a publié un patch pour corriger une vulnérabilité « zero-day » dans Chrome.
Google a confirmé que les développeurs sont au courant de l’existence de cette vulnérabilité. Le problème a été corrigé dans la version de Chrome mentionnée, qui a commencé à être déployée cette semaine. Elle sera disponible pour tous les utilisateurs du navigateur prochainement. Il suffit de vérifier les mises à jour via le menu de mise à jour de Chrome.
Quant à la vulnérabilité en elle-même, son fonctionnement est associé à un dépassement de tampon du composant Web Real-Time Communications (WebRTC). Le problème est apparu il y a quelques jours, lorsqu’il a fait l’objet de rapports des spécialistes d’Avast Threat Intelligence. L’exploitation de la vulnérabilité permet aux attaquants d’effectuer diverses actions sur l’appareil de la victime, y compris l’exécution à distance de code arbitraire.
Malgré le fait que nous connaissions l’exploitation de la vulnérabilité dans la pratique, Google n’est pas pressé de divulguer les détails concernant ce problème. La société a noté que l’accès aux informations sur la vulnérabilité sera limité jusqu’à ce qu’un correctif qui l’élimine soit installé sur les appareils de la grande majorité des utilisateurs de Chrome, ce qui peut prendre plusieurs semaines.
« L’accès aux détails et aux liens relatifs aux bugs peut être maintenu restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif », a déclaré Google. « Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont d’autres projets dépendent de manière similaire, mais qui n’a pas encore été corrigée ».