Google corrige 24 vulnérabilités avec une nouvelle mise à jour de Chrome

La première version de canal stable de Google de Chrome 105 pour Windows, Mac et Linux, publiée cette semaine, contenait des correctifs pour 24 vulnérabilités dans les versions précédentes du logiciel, dont une faille « critique » et huit que la société a qualifiées de « élevées ». gravité.

Une pluralité – neuf – des problèmes de sécurité que Google a résolus avec Chrome 105 étaient des vulnérabilités dites d’utilisation après libération, ou des failles qui permettent aux attaquants d’utiliser des espaces mémoire précédemment libérés pour exécuter du code malveillant, corrompre des données et prendre d’autres actions malveillantes. . Quatre des vulnérabilités corrigées étaient des dépassements de mémoire tampon dans divers composants Chrome, notamment WebUI et Screen Capture.

Les attaquants exploitent souvent les dépassements de mémoire tampon à diverses fins malveillantes, notamment l’exécution de code aléatoire, l’écrasement de données, le plantage de systèmes et le déclenchement de conditions de déni de service.

Écrasement du presse-papiers

Un problème que Google ne semble pas avoir résolu dans les centres de mise à jour autour des presse-papiers. Selon Malwarebytes, lorsque les utilisateurs de Google Chrome – ou de tout navigateur basé sur Chromium – visitent un site Web, le site peut pousser n’importe quel contenu dans le presse-papiers du système d’exploitation de l’utilisateursans l’autorisation de l’utilisateur ni aucune interaction.

« Cela signifie qu’en visitant simplement un site Web, les données de votre presse-papiers peuvent être écrasées sans votre consentement ni votre connaissance », a déclaré Malwarebytes.

Cela peut entraîner la perte de données précieuses par les utilisateurs qu’ils auraient pu vouloir couper et coller ailleurs tout en donnant aux attaquants une ouverture pour essayer de faufiler du code malveillant sur le système d’un utilisateur, a déclaré le fournisseur de sécurité. Le problème est lié à l’absence de toute exigence dans les navigateurs Chrome et Chromium pour que les utilisateurs prennent des mesures spécifiques telles que l’utilisation de « Ctrl + C » pour copier le contenu d’un site Web vers le presse-papiers de l’utilisateur, a déclaré Malwarebytes.

Le chercheur en sécurité Jeff Johnson a identifié le problème avec Chrome dans le cadre d’un problème plus large qui affecte à la fois Safari et Firefox aussi bien. « Chrome est actuellement le pire contrevenant, car l’exigence de geste de l’utilisateur pour écrire dans le presse-papiers a été accidentellement cassée dans la version 104 », a-t-il déclaré dans un rapport cette semaine.

Cependant, la réalité est que les utilisateurs d’autres navigateurs tels que Firefox et Safari peuvent avoir des sites Web qui écrasent leurs presse-papiers système plus facilement qu’ils ne le pensent, a déclaré Johnson. Bien que ces deux navigateurs obligent les utilisateurs à prendre des mesures pour copier le contenu du site Web dans leurs presse-papiers, les actions sont beaucoup plus larges qu’ils ne pourraient l’imaginer.

Par exemple, des actions telles que se concentrer sur un écran ou appuyer sur keydown/keyup et mousedown/mouseup peuvent entraîner la copie du contenu du site Web dans le presse-papiers à l’insu de l’utilisateur, a déclaré Johnson.

Le chercheur a noté que les développeurs de Chrome sont déjà conscients du problème et s’y attaquent. Google n’a pas immédiatement répondu à une demande de commentaire de Dark Reading.

« Les attaquants peuvent abuser de ce bogue pour copier des liens malveillants dans les presse-papiers des utilisateurs, ce qui pourrait amener les utilisateurs à coller ces liens dans leur barre d’adresse et à accéder accidentellement à des sites malveillants », explique Ivan Righi, analyste principal des cybermenaces chez Digital Shadows.

« Une autre façon d’exploiter ce bogue consiste à effectuer des transactions frauduleuses de crypto-monnaie. Les acteurs de la menace pourraient exploiter la faille en conjonction avec des attaques d’ingénierie sociale pour amener les utilisateurs à saisir les mauvaises adresses de portefeuille pour les transactions », a déclaré Righi. Cependant, la probabilité que de telles attaques réussissent est faible car les utilisateurs remarqueront probablement des contenus anormaux placés dans leur presse-papiers, dit-il.

Une pléthore de problèmes d’utilisation après la libération

Pendant ce temps, la seule vulnérabilité critique (CVE-2022-3038) résolue par Google avec la version stable de Chrome 105 a été signalée par un chercheur en sécurité de sa propre équipe de chasse aux bogues Project Zero : la faille use-after-free dans Google Chrome Network Service donne les attaquants distants un moyen d’exécuter du code arbitraire
ou déclencher des conditions de déni de service sur les systèmes des utilisateurs en les incitant à visiter un site Web militarisé.

Des chasseurs de bogues externes et des chercheurs en sécurité ont signalé toutes les vulnérabilités restantes que Google a corrigées cette semaine dans Chrome. La plus importante d’entre elles semble avoir été CVE-2022-3039, une vulnérabilité utilisateur après libération de haute gravité dans WebSQL que deux chercheurs du 360 Vulnerability Research Institute de Chine ont signalé à Google. Les chercheurs ont reçu 10 000 $ pour avoir signalé le bogue à Google – le montant le plus élevé accordé dans l’ensemble actuel.

Une autre faille à fort impact et à utilisation ultérieure dans Chrome Layout a rapporté 9 000 $ au chercheur en sécurité anonyme qui a signalé le problème à Google. Les primes pour les bogues restants allaient de 1 000 $ à 7 500 $. Google n’a pas encore déterminé les récompenses pour quatre divulgations de bugs.

Comme c’est devenu la pratique courante chez les principaux fournisseurs, Google a déclaré avoir limité l’accès aux détails des bogues jusqu’à ce que la plupart des utilisateurs aient la possibilité d’implémenter la nouvelle version stable de Chrome.

« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière mais n’ont pas encore été corrigés », Google a déclaré dans un blog cette semaine. Un cadre supérieur de la sécurité de Microsoft avait récemment utilisé la même raison pour expliquer pourquoi les divulgations de bogues de Microsoft contiennent également peu de détails ces jours-ci.

Bien que les corrections de bogues soient presque certainement la principale raison pour laquelle les utilisateurs peuvent souhaiter mettre à jour vers la version stable de Chrome 105, la nouvelle version du navigateur introduit également une poignée de fonctionnalités supplémentaires. Ceux-ci inclus des fonctionnalités qui permettent aux développeurs d’ajouter un bouton de contrôle Windows – tel que la fermeture, l’agrandissement ou la réduction – aux applications Web progressives, une nouvelle API d’image dans l’image pour Chrome sur Android et des améliorations de l’API de navigation de Chrome.