Google a publié une mise à jour imprévue pour corriger une vulnérabilité zero-day qui serait activement exploitée par des pirates informatiques dans le navigateur Google Chrome. Il s'agit du premier bug sérieux de 2023 dans le plus grand navigateur au monde .
La vulnérabilité, identifiée comme CVE-2023-2033, a été signalée par Clément Lecigne du Threat Analysis Group (TAG) de Google le 11 avril 2023. Google TAG est une équipe d'experts chargée de découvrir et de signaler les vulnérabilités zero-day exploitées dans des attaques très ciblées par des acteurs de la menace parrainés par l'État .
Cette vulnérabilité est de gravité élevée et se caractérise par un problème de confusion de types dans le moteur JavaScript V8. Un problème de confusion de types dans la version V8 du navigateur Google Chrome antérieure à la version 112.0.5615.121 permet à un attaquant distant d'exploiter une corruption de tas via une page HTML spécialement conçue.
Les utilisateurs doivent mettre à jour le navigateur Chrome immédiatement
Bien que ce bug permette généralement aux attaquants de provoquer des plantages de navigateur lorsqu'il est exploité par la lecture ou l'écriture de données hors limites de la mémoire tampon, il peut également permettre aux attaquants d'exécuter du code sur des appareils compromis. La gravité de la vulnérabilité a conduit Google à annoncer que l'accès aux détails du bug sera limité jusqu'à ce que la majorité des utilisateurs soient corrigés.
Il est également possible que Google continue à restreindre l'accès à cette faille de sécurité car elle est également présente dans des bibliothèques ou des projets tiers qui dépendent de JavaScript V8 et n'ont pas été corrigés.
Les utilisateurs de navigateurs basés sur Chromium comme Microsoft Edge, Brave, Opera et Vivaldi doivent également appliquer les correctifs dès leur publication. Pour vérifier la dernière version de Google Chrome, accédez à Chrome > Aide > À propos de Google Chrome depuis votre navigateur.
Lien source
Comment (0)