Google a tout récemment publié une nouvelle version de Chrome pour s’occuper de la vulnérabilité CVE-2022-4135, dont la sévérité est décrite comme haute. Exploitée, elle permet à un code malveillant de s’extraire de la sandbox et donc d’interagir avec le système, potentiellement d’en prendre le contrôle.
Et exploitée, elle l’est justement. La mise à jour ayant été publiée le 24 novembre, il y a de bonnes chances pour que vous l’ayez déjà, Chrome appliquant les nouvelles versions quand il est fermé.
Cependant, s’il vous arrive de garder longtemps le navigateur ouvert avec vos onglets, par exemple en mettant toujours votre ordinateur en veille plutôt qu’à l’arrêt, alors jetez un coup d’œil en haut à droite de la fenêtre, car un bouton rouge y sera peut-être apparu pour prévenir.
Commentaires (8)
#1
euh… question bête : est-ce que Chromium est affecté par ce genre de brêche?
#2
oui
#2.1
Du coup EDGE aussi j’imagine …
… sauf que j’ai le rendu GPU désactivé, alors je suis vulnérable ou pas???
#2.2
Il y a une raison de ne pas mettre à jour le navigateur ?
#2.3
Oui, si tu n’as pas les droits admin et que ton admin ne veut pas les donner ni mettre à jour alors que c’est installé pour tout le monde.
J’ai déjà eu le cas, j’avais réinstallé Chrome juste pour moi et comme ça je gérais les mises à jour de cette installation
#2.4
Je ne suis pas certain que les droits admin soient nécessaire pour mettre à jour Edge (ou même chrome)
#2.5
Ca dépend s’il a été installé pour 1 utilisateur ou pour tous les utilisateurs.
Dans le 1er cas Chrome s’installe dans les dossiers de l’utilisateur, dans le 2e il se met dans le dossier Program Files
Pour Edge, c’est via Windows Update. Donc si la MAJ est bloquée par l’IT, ben t’as pas de mise à jour.
#3
Oui pour celle-ci en particulier : j’ai vu passer la mise à jour sur ma Debian.