Google vient de patcher le huitième de Chrome trou du jour zéro de l'année jusqu'à présent.
Les zero-days sont des bogues pour lesquels il y avait des zero-days que vous auriez pu mettre à jour de manière proactive…
… parce que les cybercriminels ont non seulement trouvé le bogue en premier, mais ont également compris comment l'exploiter à des fins néfastes avant qu'un correctif ne soit préparé et publié.
Ainsi, la version rapide de cet article est la suivante : accédez à Chrome Menu à trois points (⋮), choisissez d’aide > À propos de Chrome, et vérifiez que vous disposez de la version 107.0.5304.121 ou plus tard.
Découvrir les jours zéro
Il y a vingt ans, les zero-days devenaient souvent connus très rapidement, généralement pour l'une (ou les deux) des deux raisons suivantes :
- Un virus ou un ver à propagation automatique a été publié pour exploiter le bogue. Cela avait tendance non seulement à attirer l'attention sur la faille de sécurité et sur la manière dont elle était exploitée, mais également à garantir que des copies de travail autonomes du code malveillant étaient diffusées à grande échelle pour que les chercheurs puissent les analyser.
- Un chasseur de bogues non motivé par l'argent a publié un exemple de code et s'en est vanté. Paradoxalement, peut-être, cela a simultanément nui à la sécurité en offrant un « cadeau gratuit » aux cybercriminels à utiliser immédiatement dans les attaques, et a aidé la sécurité en attirant des chercheurs et des fournisseurs pour le réparer ou trouver une solution de contournement rapidement.
De nos jours, le jeu du jour zéro est plutôt différent, car les défenses contemporaines ont tendance à rendre les vulnérabilités logicielles plus difficiles à exploiter.
Les couches défensives d'aujourd'hui incluent : des protections supplémentaires intégrées aux systèmes d'exploitation eux-mêmes ; outils de développement de logiciels plus sûrs ; des langages de programmation et des styles de codage plus sûrs ; et des outils de prévention des cybermenaces plus puissants.
Au début des années 2000, par exemple - l'ère des virus à propagation ultra-rapide tels que Code rouge et SQL Slammer - presque tous les débordements de tampon de pile, et de nombreux débordements de tampon de tas, sinon la plupart, pourraient être transformés de vulnérabilités théoriques en exploits réalisables en un clin d'œil.
En d'autres termes, trouver des exploits et "supprimer" des jours 0 était parfois presque aussi simple que de trouver le bogue sous-jacent en premier lieu.
Et avec de nombreux utilisateurs exécutant avec Administrator privilèges permanents, tant au travail qu'à la maison, les attaquants avaient rarement besoin de trouver des moyens d'enchaîner les exploits pour prendre complètement le contrôle d'un ordinateur infecté.
Mais dans les années 2020, réalisable exploits d'exécution de code à distance - les bogues (ou chaînes de bogues) qu'un attaquant peut utiliser de manière fiable pour implanter des logiciels malveillants sur votre ordinateur simplement en vous incitant à afficher une seule page sur un site Web piégé, par exemple - sont généralement beaucoup plus difficiles à trouver et valent beaucoup plus d'argent dans le cyberunderground en conséquence.
En termes simples, ceux qui mettent la main sur des exploits zero-day ces jours-ci ont tendance à ne plus s'en vanter.
Ils ont également tendance à ne pas les utiliser dans des attaques qui rendraient évident le « comment et pourquoi » de l'intrusion, ou qui conduiraient à rendre facilement disponibles des échantillons de travail du code d'exploitation pour l'analyse et la recherche.
Par conséquent, les zero-days ne sont souvent remarqués ces jours-ci qu'après qu'une équipe de réponse aux menaces est appelée pour enquêter sur une attaque qui a déjà réussi, mais où les méthodes d'intrusion courantes (par exemple, les mots de passe hameçonnés, les correctifs manquants ou les serveurs oubliés) ne semblent pas en ont été la cause.
Débordement de tampon exposé
Dans ce cas, désormais officiellement désigné CVE-2022-4135, l'insecte a été signalé par le propre groupe d'analyse des menaces de Google, mais n'a pas été trouvé de manière proactive, étant donné que Google admet qu'il est "conscient qu'un exploit […] existe dans la nature."
La vulnérabilité a reçu une Haute gravité, et est décrit simplement comme : Débordement de mémoire tampon dans le processeur graphique.
Les dépassements de mémoire tampon signifient généralement que le code d'une partie d'un programme écrit en dehors des blocs de mémoire qui lui sont officiellement alloués et piétine les données sur lesquelles s'appuieront plus tard (et seront donc implicitement approuvées) par une autre partie du programme.
Comme vous pouvez l'imaginer, de nombreux problèmes peuvent survenir si un débordement de tampon peut être déclenché d'une manière sournoise qui évite un plantage immédiat du programme.
Le débordement pourrait être utilisé, par exemple, pour empoisonner un nom de fichier qu'une autre partie du programme est sur le point d'utiliser, l'amenant à écrire des données là où il ne devrait pas ; ou pour modifier la destination d'une connexion réseau ; ou même pour changer l'emplacement en mémoire à partir duquel le programme exécutera ensuite le code.
Google ne dit pas explicitement comment ce bogue pourrait être (ou a été) exploité, mais il est sage de supposer qu'une sorte d'exécution de code à distance, qui est en grande partie synonyme d'"implantation subreptice de logiciels malveillants", est possible, étant donné que le bogue implique une mauvaise gestion de la mémoire.
Que faire?
Chrome et Chromium sont mis à jour pour 107.0.5304.121 sur Mac et Linux, et pour 107.0.5304.121 or 107.0.5304.122 sous Windows (non, nous ne savons pas pourquoi il existe deux versions différentes), assurez-vous donc de vérifier que vous avez des numéros de version égaux ou plus récents que ceux-ci.
Pour vérifier votre version de Chrome, et forcer une mise à jour si vous êtes en retard, rendez-vous sur Menu à trois points (⋮) et choisissez d’aide > À propos de Chrome.
Microsoft Edge, comme vous le savez probablement, est basé sur le code Chromium (le noyau open source de Chrome), mais n'a pas eu de mise à jour officielle depuis la veille du jour où les chercheurs sur les menaces de Google ont signalé ce bogue (et n'ont pas eu de mise à jour qui répertorie explicitement tous les correctifs de sécurité depuis le 2022-11-10).
Nous ne pouvons donc pas vous dire si Edge est affecté ou si vous devez vous attendre à une mise à jour pour ce bogue, mais nous vous recommandons de garder un œil sur Microsoft. notes de publication officielles Au cas où.
- blockchain
- Chrome
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- Edge
- pare-feu
- Google Chrome
- Kaspersky
- malware
- Mcafee
- Microsoft Edge
- Sécurité nue
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- vulnérabilité
- la sécurité d'un site web
- zéphyrnet
- Zero Day
![S3 Ep122 : Arrêtez de qualifier toutes les brèches de « sophistiquées » ! [Audio + Texte]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png "S3 Ep122 : Arrêtez de qualifier toutes les brèches de « sophistiquées » ! [Audio + Texte]")
![S3 Ep111 : Le risque commercial d'un « unfiltre de nudité » louche [Audio + Texte] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111 : Le risque commercial d'un \"filtre de nudité\" sordide [Audio + Texte]")
