Google a publié une mise à jour de sécurité d’urgence pour Chrome afin de remédier à la première vulnérabilité zero-day exploitée dans des attaques depuis le début de l’année.
« Google est conscient qu’un exploit pour CVE-2023-2033 existe dans la nature », a déclaré le géant de la recherche dans un avis de sécurité publié vendredi.
La nouvelle version est en cours de déploiement pour les utilisateurs du canal Stable Desktop et atteindra l’ensemble de la base d’utilisateurs au cours des prochains jours ou semaines.
Les utilisateurs de Chrome doivent passer à la version 112.0.5615.121 dès que possible, car elle corrige la vulnérabilité CVE-2023-2033 sur les systèmes Windows, Mac et Linux.
Cette mise à jour était immédiatement disponible lorsque Breachtrace a recherché de nouvelles mises à jour dans le menu Chrome > Aide > À propos de Google Chrome.
Le navigateur Web recherchera également automatiquement les nouvelles mises à jour et les installera sans intervention de l’utilisateur après un redémarrage.
Les détails de l’attaque ne sont pas encore divulgués
La vulnérabilité zero-day de haute gravité (CVE-2023-2033) est due à une faiblesse de confusion de type haute gravité dans le moteur JavaScript Chrome V8.
Le bogue a été signalé par Clément Lecigne du Threat Analysis Group (TAG) de Google, dont l’objectif principal est de défendre les clients de Google contre les attaques parrainées par l’État.
Google TAG découvre et signale fréquemment des bogues zero-day exploités dans des attaques très ciblées par des acteurs de la menace parrainés par le gouvernement visant à installer des logiciels espions sur les appareils d’individus à haut risque, y compris des journalistes, des politiciens de l’opposition et des dissidents du monde entier.
Bien que les failles de confusion de type permettent généralement aux attaquants de déclencher des plantages du navigateur après une exploitation réussie en lisant ou en écrivant de la mémoire hors des limites de la mémoire tampon, les acteurs de la menace peuvent également les exploiter pour l’exécution de code arbitraire sur des appareils compromis.
Alors que Google a déclaré avoir connaissance des exploits zero-day CVE-2023-2033 utilisés dans les attaques, la société n’a pas encore partagé d’informations supplémentaires concernant ces incidents.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif », a déclaré Google.
« Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais n’ont pas encore été corrigés. »
Cela permettra aux utilisateurs de Google Chrome de mettre à jour leurs navigateurs et de bloquer les tentatives d’attaque jusqu’à ce que les détails techniques soient publiés, permettant à davantage d’acteurs malveillants de développer leurs propres exploits.