Pour la seconde fois cette année, Google publie un patch de sécurité pour Chrome, dans le but de colmater une faille zero-day (CVE-2022-1096) utilisée de manière active par des pirates. Il s’agit cette fois d’un bug dans le moteur JavaScript V8 du navigateur. La vulnérabilité est du genre « confusion de type », ce qui signifie qu’une variable ou un objet peut accéder à la mémoire sous un type différent que prévu à l’origine. Ce qui peut mener à des dépassements de tampon de mémoire, et donc des exécutions de code arbitraire. Toutefois, Google ne donne aucun autre détail technique.
A découvrir aussi en vidéo :
En février dernier, Google avait déjà colmaté une faille zero-day (CVE-2022-0609) dans le module « Animation » de Chrome. Comme le précise un rapport publié il y a quelques jours, cette vulnérabilité a été utilisée par deux groupes de pirates présumés nord-coréens. Le premier, baptisé « Operation Dream Job », a envoyé de fausses annonces de recrutement auprès de 250 personnes dans une dizaine de sociétés américaines : des médias, des hébergeurs, des enregistreurs de noms de domaine, des éditeurs de logiciels.
Le second groupe, « Operation AppleJuice », a diffusé des liens vers de faux sites parlant de cryptomonnaie. Il a ciblé 85 personnes travaillant dans ce secteur économique. Malheureusement, Google n’a pu analyser que le malware dédié à la compromission initiale. On ne sait donc pas quels étaient les objectifs de ces attaques.
Source : Google
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
