Google vient de publier une mise à jour non planifiée pour corriger une faille de sécurité zero-day qui serait activement exploitée par des pirates informatiques dans le navigateur Google Chrome. Il s'agit du premier bug sérieux de 2023 affectant le navigateur le plus utilisé au monde .
La vulnérabilité, identifiée comme CVE-2023-2033, a été signalée par Clément Lecigne du groupe d'analyse des menaces (TAG) de Google le 11 avril 2023. Google TAG est une équipe d'experts chargée de découvrir et de signaler les vulnérabilités zero-day exploitées dans des attaques hautement ciblées par des acteurs de menaces parrainés par des États .
La vulnérabilité, décrite comme un problème de haute gravité dans le moteur JavaScript V8, est un problème de confusion de type dans V8 dans le navigateur Google Chrome avant la version 112.0.5615.121 qui permet à un attaquant distant d'exploiter potentiellement une corruption de tas via une page HTML spécialement conçue.
Les utilisateurs doivent mettre à jour leur navigateur Chrome immédiatement.
Bien que cette faille permette généralement aux attaquants de provoquer des plantages de navigateur en lisant ou en écrivant des données hors limites dans la mémoire tampon, elle peut également leur permettre d'exécuter du code sur les appareils compromis. Compte tenu de la gravité de cette vulnérabilité, Google a annoncé que l'accès aux détails techniques sera limité jusqu'à ce que la plupart des utilisateurs soient protégés.
Il est également possible que Google continue de restreindre l'accès à cette faille de sécurité car elle est également présente dans des bibliothèques ou des projets tiers qui dépendent de JavaScript V8 et qui n'ont pas été corrigés.
Les utilisateurs de navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi, sont également invités à appliquer les correctifs dès leur publication. Pour vérifier la nouvelle version de Google Chrome, accédez à Chrome > Aide > À propos de Google Chrome dans votre navigateur.
Lien source
Comment (0)