Pour trouver la mise à jour, vous devrez vérifier les paramètres de votre appareil. Les appareils qui ont reçu la mise à jour Android d’avril jusqu’à présent incluent les appareils Pixel de Google et certains téléphones Android tiers, notamment les Samsung Galaxy A32 5G, A51, A52 5G, A53 5G, A71, série S10, série S20, série Note20, Z Flip 5G, Z Flip3, Z Fold, Z Fold2 et Z Fold3, ainsi que les OnePlus 9 et OnePlus 9 Pro.
Mises à jour d’urgence de Google Chrome
En tant que plus grand navigateur au monde avec plus de 3 milliards d’utilisateurs, il n’est pas surprenant que les attaquants ciblent Google Chrome. Les attaques basées sur le navigateur sont particulièrement inquiétantes car elles peuvent potentiellement être enchaînées avec d’autres vulnérabilités et utilisées pour prendre le contrôle de votre appareil.
Ce fut un mois particulièrement chargé pour l’équipe derrière le navigateur Chrome de Google, qui a vu plusieurs mises à jour de sécurité à quelques semaines d’intervalle. Le dernier, sorti à la mi-avril, corrige deux problèmes, dont une vulnérabilité zero-day de haute gravité, CVE-2022-1364, qui est déjà utilisée par les attaquants.
Les détails techniques ne sont pas disponibles pour le moment, mais le moment du correctif – juste un jour après qu’il a été signalé – indique que c’est assez sérieux. Si vous utilisez Chrome, votre navigateur doit maintenant être sur la version 100.0.4896.127 pour inclure le correctif. Vous devrez redémarrer Chrome après l’installation de la mise à jour pour vous assurer qu’elle s’active.
Le problème Chrome affecte également d’autres navigateurs basés sur Chromium, notamment Brave, Microsoft Edge, Opera et Vivaldi, donc si vous en utilisez un, assurez-vous d’appliquer le correctif.
Mais ce n’est pas tout. Le 27 avril, Google a annoncé une autre mise à jour de Chrome, corrigeant 30 vulnérabilités de sécurité. Aucun d’entre eux n’a encore été exploité, selon la société, mais sept sont classés comme présentant un risque élevé. La mise à jour amène le navigateur à la version 101.0.4951.41.
Mise à jour du correctif critique d’Oracle d’avril 2022
À la mi-avril, Oracle a publié sa mise à jour trimestrielle des correctifs critiques, comprenant 520 correctifs de sécurité. Certains des problèmes résolus dans la mise à jour sont graves : 300 d’entre eux peuvent être exploités à distance sans authentification, et 75 problèmes de sécurité sont classés comme étant de gravité critique. Certains des correctifs Oracle corrigent CVE-2022-22965, alias Spring4Shell, une faille d’exécution de code à distance (RCE) dans le framework Spring.
Le mardi du patch d’avril occupé de Microsoft
Microsoft a eu un correctif majeur mardi en avril, publiant des correctifs pour plus de 100 vulnérabilités, dont 10 failles RCE critiques. L’un des plus importants, CVE-2022-24521, est déjà exploité par des attaquants, selon la société.
Signalé par la NSA et les chercheurs de CrowdStrike, le problème du pilote du système Windows Common Log File ne nécessite pas d’interaction humaine pour être exploité et peut être utilisé pour obtenir des privilèges administratifs sur un système connecté. Parmi les autres correctifs notables, citons CVE-2022-26904, un problème connu du public, et CVE-2022-26815, une grave faille du serveur DNS.
Correction de Mozilla Thunderbird 91.8.0
Le 5 avril, Mozilla a publié un correctif pour résoudre les problèmes de sécurité de son client de messagerie Thunderbird ainsi que de son navigateur Firefox. Les détails sont rares, mais Thunderbird 91.8 corrige quatre vulnérabilités considérées comme ayant un impact élevé, dont certaines pourraient être exploitées pour exécuter du code arbitraire.
Firefox ESR 91.8 et Firefox 99 résolvent également plusieurs problèmes de sécurité.
WordPress Plugin Elementor Version 3.6.3
Le plug-in de création de site Web Elementor pour WordPress a reçu un gros correctif de sécurité en avril pour une vulnérabilité classée critique qui pourrait permettre aux attaquants d’exécuter du code à distance et de prendre efficacement le contrôle d’un site Web.
Trouvée par des chercheurs de Plugin Vulnerabilities, la faille a été introduite dans le plug-in dans la version 3.6.0, publiée le 22 mars. ont déclaré les chercheurs.
Bien que l’attaquant doive être authentifié pour exploiter le problème, cela reste assez grave car toute personne connectée à un site Web affecté peut l’exploiter. La mise à jour pour les 5 millions d’utilisateurs d’Elementor, version 3.6.3, devrait être appliquée dès que possible.
Plus de grandes histoires WIRED
