Il est temps de mettre à jour : la dernière version de Google Chrome corrige 27 failles de sécurité

Google vient de publier la version stable de Chrome 104 avec des corrections pour 7 failles de gravité “élevée” et 15 failles de gravité “moyenne”. La nouvelle version concerns Windows, Mac et Linux. 27 bugs de sécurité signalés par des tiers ont été corrigés.

Aucune de ces failles n’est répertoriée comme étant activement exploitée, mais les notes de mise à jour de Chrome 104 contiennent quelques corrections notables, bien que peu décrites, pour des failles de haute gravité quient l'”Omnid affection” adresse) de Chrome, la protection en ligne Safe Browsing de Google, l’implémentation du WebGPU Dawn dans Chrome et la fonction Nearby Share de Google, semblable à AirDrop d’Apple, pour le partage de fichiers entre Chromebook et appareils Android.

Il ya égallement un problème intéressant de fuite de données par canal latéral de gravité moyenne affectant la saisie du clavier de Chrome, découvert par Erik Kraft et Martin Schwarzl de l’Université de technologie de Graz (Autriche). Ce ne sont pas des inconnus. Les chercheurs de Graz TU ont joué un rôle central dans la découverte des attaques de canaux latéraux de CPU Meltdown et Specter en 2018.

Use after free en pagaille

Google a aussi attribué 15 000 dollars à un chercheur anonyme pour le problème lié à la mémoire Omnibox ‘use after free’ suivi sous le nom de CVE-2022-2603.

Safe Browsing dans Chrome a égallement été affecté par un problème de haute gravité de type “use after free” (CVE-2022-2604), et un problème de gravité moyenne causé par une validation insuffisante des entrées non fiables (CVE-2022-2622 ). Safe Browsing est utilisé par Chrome et d’autres navigateurs pour montrer aux utilisateurs un avertissement avant qu’ils ne visitent un site web dangereux ou ne téléchargent une application malveillante.

Un problème de haute gravité a été signalé par Nan Wang et Guang Gong du 360 Alpha Lab de Qihoo 360 le 10 juin. Ils ont égallement signalé un problème de gravité élevée égallement de “use after free” dans l’API Managed devices de Chrome (CVE-2022-2606) et un problème de gravité moyenne de nature identique dans l’interface WebUI de Chrome (CVE- 2022-2620).

La faille dans la fonction Nearby Share de Chrome était égallement une faille de type “use after free” (CVE-2022-2609).

Rétention volontaire d’information

Les détails sur les bugs sont volontairement peu nombreux car Google restreint l’accès aux détails “jusqu’à ce qu’une majorité d’utilisateurs aient mis à jour avec un correctif”. Il peut égallement restreindre l’accès si le bug existe dans une bibliothèque tierce dont d’autres projets dépendent, et qui n’a pas encore été corrigée.

Un important change lié à la sécurité dans Chrome 104 est la suppression de l’API U2F, l’API de clé de sécurité originale de Chrome, qui a été remplacée par la nouvelle API Web Authentication (WebAuthn). WebAuthn est devenue une norme officielle du W3C en 2019, date à laquelle elle avait déjà été mise en œuvre dans tous les principaux navigateurs ainsi que dans Windows et Android.

les sites web devront migrer vers l’API WebAuthn

Les clés de sécurité d’authentification à deux facteurs U2F USB sont prises en charge par WebAuthn, et ne sont donc pas affectées par le changement, mais les sites Web devront migrer vers l’API WebAuthn. Ce changement ne devrait pas surprendre les développeurs Web, car Google les a prévenus depuis deux ans.

“L’U2F n’est jamais devenu un standard web ouvert et a été subsumé par l’API Web Authentication (lancée dans Chrome 67). Chrome n’a jamais pris en charge directement l’API JavaScript FIDO U2F, mais a plutôt fourni une extension de composant appelée cryptotoken… U2F et Cryptotoken sont en mode maintenance et ont encouragé les sites à migrer vers l’API d’authentification Web au cours des deux dernières années”, explique Google dans un récent billet de blog.

Google a égallement publié Chrome 104 vers son nouveau canal extended stable pour Windows et Mac.

Source : “ZDNet.com”

Leave a Comment