Google a publié un correctif pour Chrome qui corrige un jour zéro. Un exploit fonctionnel existait, mais la fréquence à laquelle il a été exploité et ce que le bogue implique réellement est inconnu.
Google a publié la mise à jour 104.0.5112.102/101 pour Chrome pour Windows et 104.0.5112.101 pour macOS et Linux en tant que version stable. La société écrit dans un article de blog que onze vulnérabilités du navigateur ont été corrigées. Six d'entre eux sont des bugs d'utilisation après libération dans FedCm, SwiftShader, Angle, Blink, Shell et Sign-in Flow. Il existe également une application incorrecte de la politique dans la fonctionnalité Cookies du navigateur. Les vulnérabilités ont été suggérées par des chercheurs en sécurité tiers et, dans deux cas, par le propre service de sécurité Project Zero de Google.
L'un des bogues, CVE-2022-2856, est un jour zéro. "Google est conscient qu'un exploit de CVE-2022-2856 existe dans la nature", a écrit la société, mais n'a pas fourni de détails. On ne sait pas si cet exploit est réellement abusé et dans combien de cas c'est le cas. Les détails sur la vulnérabilité sont sommaires ; Google appelle cela une validation insuffisante des entrées non fiables dans les intentions, mais ne donne pas plus de détails à ce sujet. La vulnérabilité a été découverte par un employé du groupe d'analyse des menaces de Google, une division de sécurité distincte.