Il est temps de mettre à jour : la dernière version de Google Chrome corrige 27 failles de sécurité

Il est temps de mettre à jour : la dernière version de Google Chrome corrige 27 failles de sécurité

Google vient de publier la version stable de Chrome 104, qui corrige sept failles de gravité élevée et 15 failles de gravité moyenne. La nouvelle version concerne Windows, Mac et Linux. 27 failles de sécurité signalées par des tiers ont été corrigées au total.

Aucune de ces failles n’est répertoriée comme étant activement exploitée, mais les notes accompagnant la mise à jour présentent quelques correctifs notables. Bien que peu décrites, ces failles de haute gravité affectent l’Omnibox (la barre d’adresse de Chrome), la protection en ligne Safe Browsing de Google, l’implémentation du WebGPU Dawn et la fonction Nearby Share, qui permet de partager des fichiers entre Chromebook et Android, à la manière du AirDrop d’Apple.

Il y a également un problème intéressant de fuite de données par canal latéral de gravité moyenne affectant la saisie du clavier de Chrome, découvert par Erik Kraft et Martin Schwarzl de l’Université de technologie de Graz (Autriche). Ce ne sont pas des inconnus. Les chercheurs de Graz TU ont joué un rôle central dans la découverte des attaques de canaux latéraux de CPU Meltdown et Spectre en 2018.

publicité

Use after free en pagaille

Google a aussi attribué 15 000 dollars à un chercheur anonyme pour le problème lié à la mémoire Omnibox “use after free“, suivi sous le nom de CVE-2022-2603.

Safe Browsing dans Chrome a également été affecté par un problème de haute gravité de type “use after free” (CVE-2022-2604), et un problème de gravité moyenne causé par une validation insuffisante des entrées non fiables (CVE-2022-2622). Safe Browsing est utilisé par Chrome et d’autres navigateurs pour montrer aux utilisateurs un avertissement avant qu’ils ne visitent un site web dangereux ou ne téléchargent une application malveillante.

Un problème de haute gravité a été signalé par Nan Wang et Guang Gong du 360 Alpha Lab de Qihoo 360 le 10 juin. Ils ont également signalé un problème de gravité élevée également de “use after free” dans l’API Managed devices de Chrome (CVE-2022-2606) et un problème de gravité moyenne de nature identique dans l’interface WebUI de Chrome (CVE-2022-2620).

La faille dans la fonction Nearby Share de Chrome était également une faille de type “use after free” (CVE-2022-2609).

Rétention volontaire d’informations

Les détails sur les vulnérabilités sont volontairement peu nombreux, car Google restreint leur accès « jusqu’à ce qu’une majorité d’utilisateurs aient mis à jour avec un correctif ». Il peut également restreindre l’accès à ces informations si le bug existe dans une bibliothèque tierce dont d’autres projets dépendent, et qui n’a pas encore été corrigée.

Un changement important lié à la sécurité dans Chrome 104 est la suppression de l’API U2F, l’API de clé de sécurité originale de Chrome, qui a été remplacée par la nouvelle API Web Authentication (WebAuthn). WebAuthn est devenue une norme officielle du W3C en 2019, date à laquelle elle avait déjà été mise en œuvre dans tous les principaux navigateurs ainsi que dans Windows et Android.

Les sites web devront migrer vers l’API WebAuthn

Les clés de sécurité d’authentification à deux facteurs U2F USB sont prises en charge par WebAuthn, et ne sont donc pas affectées par le changement, mais les sites web devront migrer vers l’API WebAuthn. Ce changement ne devrait pas surprendre les développeurs web, car Google les a prévenus depuis deux ans.

« L’U2F n’est jamais devenu un standard web ouvert et a été subsumé par l’API Web Authentication (lancée dans Chrome 67). Chrome n’a jamais pris en charge directement l’API JavaScript FIDO U2F, mais a plutôt fourni une extension de composant appelée cryptotoken… U2F et Cryptotoken sont en mode maintenance et ont encouragé les sites à migrer vers l’API d’authentification web au cours des deux dernières années », explique Google dans un récent billet de blog.

Google a également publié Chrome 104 vers son nouveau canal extended stable pour Windows et Mac.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *