Google a corrigé la sixième vulnérabilité Zero Day de Chrome cette année dans une mise à jour de sécurité d’urgence publiée aujourd’hui pour contrer l’exploitation continue des attaques.
La société a reconnu l’existence d’un exploit pour la faille de sécurité (identifiée comme CVE-2023-6345) dans un nouvel avis de sécurité publié aujourd’hui.
« Google est conscient qu’un exploit pour CVE-2023-6345 existe dans la nature », a indiqué la société.
La vulnérabilité a été corrigée dans le canal Stable Desktop, avec des versions corrigées déployées à l’échelle mondiale pour les utilisateurs Windows (119.0.6045.199/.200) et les utilisateurs Mac et Linux (119.0.6045.199).
Bien que l’avis indique que la mise à jour de sécurité peut prendre des jours ou des semaines pour atteindre l’ensemble de la base d’utilisateurs, elle était disponible immédiatement lorsque Breachtrace a vérifié les mises à jour plus tôt dans la journée.
Les utilisateurs qui ne souhaitent pas effectuer la mise à jour manuellement peuvent compter sur le navigateur Web pour rechercher automatiquement les nouvelles mises à jour et les installer après le prochain lancement.
Probablement exploité dans des attaques de logiciels espions
Cette vulnérabilité Zero Day de haute gravité provient d’une faiblesse de dépassement d’entier au sein de la bibliothèque graphique 2D open source Skia, posant des risques allant de plantages à l’exécution de code arbitraire (Skia est également utilisé comme moteur graphique par d’autres produits comme ChromeOS, Android et Flutter).
Le bug a été signalé vendredi 24 novembre par Benoît Sevens et Clément Lecigne, deux chercheurs en sécurité au sein du Threat Analysis Group (TAG) de Google.
Google TAG est connu pour découvrir les failles Zero Day, souvent exploitées par des groupes de piratage parrainés par l’État dans le cadre de campagnes de logiciels espions ciblant des personnalités de premier plan telles que des journalistes et des politiciens de l’opposition.
La société a déclaré que l’accès aux détails du jour zéro resterait restreint jusqu’à ce que la plupart des utilisateurs aient mis à jour leur navigateur. Si la faille affecte également des logiciels tiers qui n’ont pas encore été corrigés, la limitation d’accès aux détails des bogues et aux liens sera étendue.
« L’accès aux détails du bug et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif. Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent également d’autres projets, mais qui n’ont pas encore été corrigés, « , a déclaré l’entreprise.
Cela vise à réduire la probabilité que les acteurs malveillants développent leurs propres exploits CVE-2023-6345, en tirant parti des informations techniques récemment publiées sur la vulnérabilité.
En septembre, Google a corrigé deux autres zéros (identifiés comme CVE-2023-5217 et CVE-2023-4863) exploités lors d’attaques, les quatrième et cinquième depuis début 2023.
Mise à jour : histoire et titre révisés pour marquer correctement le jour zéro comme le sixième corrigé cette année.