Google a annoncé la publication de Chrome 107 dans le canal stable, avec des correctifs pour 14 vulnérabilités, dont dix bogues ont été signalés en externe : trois de haute gravité, six de gravité moyenne et un de faible gravité.

Pour exploiter ces failles, un attaquant distant doit inciter un utilisateur à accéder à une page Web spécialement conçue dans un navigateur vulnérable. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter du code arbitraire ou de provoquer un déni de service (DoS) sur le système affecté.

Le plus grave de ces défauts de sécurité signalés en externe est CVE-2022-3652, qui est décrit comme une confusion de type dans le JavaScript open source V8 et WebAssembly Engine. Google affirme avoir versé 20 000 dollars au chercheur qui l'a signalé.

Vient ensuite CVE-2022-3653, une vulnérabilité de débordement de Heap-Buffer dans Vulkan Hardware Acceleration Engine. Google indique avoir versé une récompense de 17 000 dollars au chercheur qui l'a identifiée.

La troisième vulnérabilité de haute gravité est CVE-2022-3654, un problème de type "use-after-free" dans Layout. Google indique qu'il n'a pas encore déterminé le montant de la récompense qui lui sera versée.

Le géant de l'Internet a accordé un total de 17 000 dollars pour les six vulnérabilités de gravité moyenne signalées en externe et résolues par Chrome 107.

Il s'agit notamment d'un débordement de Heap-Buffer dans Media Galleries, d'une validation insuffisante des données dans File System, d'une implémentation inappropriée en mode plein écran et de bogues Use-After-Free dans Extensions, Feedback service sur Chrome OS et Accessibility.

Une somme supplémentaire de 3 000 dollars a été versée pour le problème de faible gravité, pour un total de 54 000 dollars, mais le montant total pourrait être beaucoup plus élevé, une fois que Google aura annoncé la récompense pour la troisième vulnérabilité de haute gravité.

La dernière itération de Chrome est désormais disponible pour les utilisateurs de Mac, Linux et Windows sous les versions 107.0.5304.62, 107.0.5304.68 et 107.0.5304.62/63.