Google a publié des mises à jour d’urgence pour corriger une autre vulnérabilité Chrome zero-day exploitée à l’état sauvage, la huitième corrigée depuis le début de l’année.

« Google est conscient qu’un exploit pour CVE-2023-7024 existe dans la nature », indique un avis de sécurité publié mercredi.

La société a corrigé le bogue du jour zéro pour les utilisateurs du canal de bureau stable, avec des versions corrigées déployées dans le monde entier pour les utilisateurs Windows (120.0.6099.129/130) et les utilisateurs Mac et Linux (120.0.6099.129) un jour après avoir été signalées à Google.

​​​Le bogue a été découvert et signalé par Clément Lecigne et Vlad Stolyarov du Threat Analysis Group (TAG) de Google, un collectif d’experts en sécurité dont l’objectif principal est de défendre les clients de Google contre les attaques parrainées par l’État.

Le Groupe d’analyse des menaces (TAG) de Google découvre fréquemment des bugs zero-day exploités par des acteurs de la menace parrainés par le gouvernement dans des attaques ciblées visant à déployer des logiciels espions sur les appareils d’individus à haut risque, y compris des politiciens de l’opposition, des dissidents et des journalistes.

Même si la mise à jour de sécurité pouvait prendre des jours ou des semaines pour atteindre tous les utilisateurs, selon Google, elle était disponible immédiatement lorsque Breachtrace a vérifié les mises à jour plus tôt aujourd’hui.

Les personnes qui préfèrent ne pas mettre à jour manuellement peuvent compter sur leur navigateur Web pour rechercher automatiquement les nouvelles mises à jour et les installer au prochain lancement.

Huitième Chrome zero-day corrigé cette année
La vulnérabilité zero-day de gravité élevée (CVE-2023-7024) est due à une faiblesse de débordement de mémoire tampon de tas dans le framework WebRTC open source de nombreux autres navigateurs Web, tels que Mozilla Firefox, Safari et Microsoft Edge, pour fournir des capacités de communication en temps réel (RTC) (par exemple, streaming vidéo, partage de fichiers et téléphonie VoIP) via des API JavaScript.

Bien que Google sache que CVE-2023-7024 a été exploité comme un jour zéro dans la nature, il n’a pas encore partagé d’autres détails concernant ces incidents.

« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google.

« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’ont pas encore été corrigés. »

Cela vise à réduire la probabilité que les acteurs de la menace développent leurs propres exploits CVE-2023-7024 en les empêchant de tirer parti des informations techniques nouvellement publiées.

Auparavant, Google corrigeait sept autres jours zéro exploités dans des attaques, suivis comme CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 et CVE-2023-2033.

Certains d’entre eux, comme CVE-2023-4762, ont été étiquetés comme des bogues zero-day utilisés pour déployer des logiciels espions des semaines après la publication des correctifs par l’entreprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *