Une mise à jour de sécurité critique est désormais disponible pour certains utilisateurs de Chrome sur Mac, Linux et Windows.
Elle corrige une vulnérabilité de type “zero-day” qui pourrait rendre les systèmes vulnérables au vol de données et à d’autres cyberattaques. Mardi, Google a confirmé dans une mise à jour du canal stable de Chrome qu’il “est conscient qu’un exploit pour CVE-2023-6345 existe dans la nature”.
La vulnérabilité a été découverte le 24 novembre par deux chercheurs en sécurité travaillant au sein du Threat Analysis Group (TAG) de Google.
Google n’a pas encore publié beaucoup de détails sur l’exploit CVE-2023-6345, mais c’est normal.
Comme le note Android Central, Google, à l’instar de nombreuses entreprises technologiques, choisit souvent de garder les informations sur les vulnérabilités secrètes jusqu’à ce qu’elles aient été largement corrigées, car des informations détaillées pourraient permettre aux attaquants d’exploiter plus facilement les utilisateurs de Chrome qui ne sont pas protégés.
On ne sait pas depuis combien de temps la vulnérabilité était activement exploitée avant sa découverte la semaine dernière.
Ce que nous savons, c’est que la CVE-2023-6345 est un débordement d’entier qui affecte Skia, la bibliothèque graphique 2D open-source du moteur graphique de Chrome. Selon les notes de la mise à jour de Chrome, l’exploit a permis à au moins un attaquant de “potentiellement effectuer une évasion de la sandbox via un fichier malveillant”.
Les évasions du bac à sable peuvent être utilisées pour infecter les systèmes vulnérables avec du code malveillant et voler des données sensibles de l’utilisateur.
Si votre navigateur Chrome est déjà configuré pour se mettre à jour automatiquement, vous n’avez peut-être pas besoin d’agir. Pour les autres, il est conseillé de mettre à jour manuellement la dernière version (119.0.6045.199 pour Mac et Linux et 119.0.6045.199/.200 pour Windows) dans les paramètres de Google Chrome afin d’éviter que votre système ne soit exposé.
Google indique que le correctif sera déployé “au cours des prochains jours/semaines”, il se peut donc qu’il ne soit pas immédiatement disponible pour tout le monde à l’heure où nous écrivons ces lignes.