Google Chrome : une mise à jour d’urgence corrige une sévère faille zero-day

Peu de temps après la sortie de Chrome 117, Google a réagi promptement à la découverte de la sixième vulnérabilité zero-day du navigateur en 2023, en lançant une mise à jour d’urgence visant à contrer les attaques en cours exploitant cette faille de sécurité.

La société a officiellement reconnu l’existence de l’exploit associé à la vulnérabilité identifiée sous le numéro CVE-2023-6345, comme indiqué dans un avis de sécurité publié récemment.

Google Chrome corrige la sixième faille zero-day de l’année

La vulnérabilité en question a été corrigée dans le canal Stable Desktop, avec des versions mises à jour déployées à l’échelle mondiale pour les utilisateurs de Windows (119.0.6045.199/.200) ainsi que pour les utilisateurs de Mac et Linux (119.0.6045.199). Tout le monde n’y aura donc pas accès en même temps, mais après vérification, elle était disponible sur l’un de nos ordinateurs.

La vulnérabilité, critique, classée comme erreur d’opérande au sein de la bibliothèque graphique 2D open source Skia, présente des risques allant de simples plantages à l’exécution de code arbitraire. Skia est largement utilisé comme moteur graphique sur ChromeOS, Android et Flutter.

À lire : Comment activer les fonctionnalités secrètes de Google Chrome ?

La rapidité avec laquelle Google a réagi vise à limiter l’impact potentiel de cette vulnérabilité, susceptible d’être exploitée dans des attaques de logiciels espions. Jugée sévère, l’accès aux détails spécifiques de cette faille zero-day pourrait être restreint jusqu’à ce qu’une majorité d’utilisateurs aient appliqué le correctif, et ces restrictions pourraient également s’appliquer à des bibliothèques tierces impactées.

En septembre, Google avait déjà résolu deux autres zero-days (identifiés comme CVE-2023-5217 et CVE-2023-4863) qui étaient également exploités dans des attaques, marquant le quatrième et le cinquième zero-day corrigés par l’entreprise au cours de l’année 2023.

^{Source : Google}