Google a publié une mise à jour de sécurité pour le navigateur Web Chrome afin de résoudre la troisième vulnérabilité zero-day exploitée par les pirates cette année.
« Google est conscient qu’un exploit pour CVE-2023-3079 existe dans la nature », lit-on dans le bulletin de sécurité.
Détails d’exploitation inconnus
La société n’a pas publié de détails sur la façon dont l’exploit et comment il a été utilisé dans les attaques, limitant les informations à la gravité de la faille et à son type.
La rétention d’informations techniques est la position habituelle de Google lorsqu’un nouveau problème de sécurité est découvert. Il s’agit de protéger les utilisateurs jusqu’à ce que la plupart d’entre eux migrent vers une version sécurisée, car les adversaires pourraient utiliser les détails pour développer des exploits supplémentaires.
« L’accès aux détails du bogue et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés » – Google
CVE-2023-3079 a été évalué comme un problème de haute gravité et il a été découvert par le chercheur de Google Clément Lecigne le 1er juin 2023, et est une confusion de type dans V8, le moteur JavaScript de Chrome chargé d’exécuter du code dans le navigateur.
Les bogues de confusion de type surviennent lorsque le moteur interprète mal le type d’un objet pendant l’exécution, ce qui peut entraîner une manipulation malveillante de la mémoire et l’exécution de code arbitraire.
La première vulnérabilité zero-day que Google a corrigée dans Chrome cette année était CVE-2023-2033, qui est également un bogue de confusion de type dans le moteur JavaScript V8.
Quelques jours plus tard, Google a publié une mise à jour de sécurité d’urgence pour Chrome afin de corriger CVE-2023-2136, une vulnérabilité activement exploitée affectant la bibliothèque graphique 2D du navigateur, Skia.
Les vulnérabilités du jour zéro sont souvent exploitées par des acteurs sophistiqués de la menace parrainés par l’État, ciblant principalement des personnalités de premier plan au sein du gouvernement, des médias ou d’autres organisations vitales. Par conséquent, il est fortement recommandé à tous les utilisateurs de Chrome d’installer la mise à jour de sécurité disponible dès que possible.
En plus de corriger un nouveau zero-day, la dernière version de Chrome résout divers problèmes découverts lors d’audits internes et d’analyses de fuzzing de code.
Google indique que la mise à jour sera déployée dans les jours/semaines à venir, il s’agit donc d’une distribution progressive qui n’atteindra pas tout le monde simultanément.
Mettre à jour le navigateur Chrome
Pour lancer manuellement la procédure de mise à jour de Chrome vers la dernière version qui résout le problème de sécurité activement exploité, accédez au menu des paramètres de Chrome (coin supérieur droit) et sélectionnez Aide → À propos de Google Chrome.
Il est nécessaire de relancer l’application pour terminer la mise à jour.
Les mises à jour de sécurité disponibles sont également automatiquement installées au prochain démarrage du navigateur sans intervention de l’utilisateur. Consultez donc la page « À propos » pour vous assurer que vous utilisez la dernière version.
La nouvelle version de canal stable corrigeant la faille qui a un exploit dans la nature est la version 114.0.5735.110 pour Windows et 114.0.5735.106 pour Mac et Linux.