Origine: bjCSIRT

Numéro: 2022/ALERTE/030

Date de l’alerte: 25/08/2022

APERÇU :

Une importante faille due à une insuffisance de validation des entrées fait partie des onze (11) vulnérabilités corrigées cette semaine par Google. Cette faille pourrait permettre l’exécution de code arbitraire et fait l’objet d’attaques actives.

DESCRIPTION :

Libellé CVE-2022-2856 avec un niveau de criticité élevé, cette faille est décrite comme une insuffisance de validation des entrées dans le composant Chrome Intents.

La validation insuffisante est associée à la validation des entrées, une technique fréquemment utilisée pour vérifier les entrées potentiellement dangereuses afin de s’assurer qu’elles sont sûres pour être traitées dans le code, ou lors de la communication avec d’autres composants. Une mauvaise validation conduirait à ce que des parties du système reçoivent des entrées non intentionnelles, ce qui peut entraîner une altération du flux de contrôle, un contrôle arbitraire d’une ressource ou une exécution de code arbitraire.

IMPACT :

• Exécution de code arbitraire

SYSTEMES AFFECTÉS

Toutes les versions de Google Chrome ne disposant pas des dernières mises à jour de sécurité d’août 2022.

MESURES À PRENDRE :

Installer les mises à jour de sécurité.

REFERENCES :

• https://threatpost.com/google-patches-chromes-fifth-zero-day-of-the-year/180432/
• https://www.sangfor.com/farsight-labs-threat-intelligence/cybersecurity/cve-2022-2856-google-chrome-code-execution-vulnerability