Google a publié une mise à jour de sécurité pour le navigateur Web Chrome afin de corriger la deuxième vulnérabilité zero-day qui a été exploitée lors d’attaques cette année.
« Google est conscient qu’un exploit pour CVE-2023-2136 existe dans la nature », lit-on dans le bulletin de sécurité de la société.
La nouvelle version est 112.0.5615.137 et corrige un total de huit vulnérabilités. La version stable est disponible uniquement pour les utilisateurs Windows et Mac, la version Linux devant être déployée « bientôt », indique Google.
Pour lancer manuellement la procédure de mise à jour de Chrome vers la dernière version qui résout le problème de sécurité activement exploité, accédez au menu des paramètres de Chrome (coin supérieur droit) et sélectionnez Aide → À propos de Google Chrome.
Sinon, les mises à jour sont installées au prochain démarrage du navigateur sans nécessiter l’intervention de l’utilisateur. Il est nécessaire de relancer l’application pour terminer la mise à jour.
Pas de détails d’exploitation
CVE-2023-2136 est une vulnérabilité de débordement d’entier de haute gravité dans Skia, une bibliothèque graphique 2D multiplateforme open source appartenant à Google écrite en C++.
Skia fournit à Chrome un ensemble d’API pour le rendu des graphiques, du texte, des formes, des images et des animations, et il est considéré comme un élément clé du pipeline de rendu du navigateur.
Les bogues de dépassement d’entier se produisent lorsqu’une opération aboutit à une valeur qui dépasse le maximum pour un type d’entier donné, entraînant souvent un comportement logiciel inattendu ou ayant des implications en matière de sécurité.
Dans le contexte de Skia, cela peut entraîner un rendu incorrect, une corruption de la mémoire et une exécution de code arbitraire entraînant un accès non autorisé au système.
La vulnérabilité a été signalée par Clément Lecigne du Threat Analysis Group (TAG) de Google plus tôt ce mois-ci.
Conformément à sa pratique habituelle lors de la correction des failles activement exploitées dans Chrome, Google n’a pas divulgué beaucoup de détails sur la façon dont CVE-2023-2136 a été utilisé dans les attaques, laissant ouverte à la spéculation la méthode d’exploitation et les risques associés.
Cela permet aux utilisateurs de mettre à jour leur logiciel vers la version la plus sûre avant de partager des détails techniques qui pourraient permettre aux pirates de développer leurs propres exploits.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif », indique le bulletin de sécurité.
« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés » – Google
Vendredi dernier, Google a publié une autre mise à jour d’urgence de Chrome pour corriger CVE-2023-2033, la première vulnérabilité activement exploitée dans le navigateur découverte en 2023.
Ces failles sont généralement exploitées par des acteurs avancés de la menace, la plupart du temps parrainés par l’État, qui ciblent des personnes de haut niveau travaillant dans les gouvernements, les médias ou d’autres organisations critiques. Par conséquent, il est recommandé à tous les utilisateurs de Chrome d’appliquer la mise à jour disponible dès que possible.