Une grave faille de sécurité sur Chrome vient d'être corrigée.

Selon MacRumors , Google a publié une mise à jour de sécurité critique pour Chrome sur macOS, Windows et Linux afin de corriger une faille zero-day activement exploitée. Dans cette mise à jour, Google indique être « au courant de la présence de la vulnérabilité CVE-2023-6345 ».

Découverte la semaine dernière par des chercheurs en sécurité du groupe d'analyse des menaces (TAG) de Google, cette nouvelle vulnérabilité serait liée à la bibliothèque graphique 2D open source Skia, intégrée au moteur graphique de Chrome. Google n'a pas encore fourni de détails supplémentaires sur l'exploitation de cette vulnérabilité (CVE-2023-6345), afin de ne pas alerter les personnes malveillantes.

Selon les notes de la mise à jour macOS 119.0.6045.199, l'exploit permet à un ou plusieurs attaquants « d'effectuer potentiellement une évasion de sandbox via un fichier malveillant », ce qui pourrait théoriquement leur permettre d'exécuter du code arbitraire et de voler des données.

Par défaut, Chrome se met à jour automatiquement lorsqu'une nouvelle version est disponible. Toutefois, il est recommandé d'effectuer une mise à jour manuelle dès qu'elle est disponible afin d'éviter les risques d'exploitation de failles zero-day. Dans les paramètres de Chrome, cliquez sur l'onglet « À propos de Chrome », puis sur « Mettre à jour Google Chrome ». Si l'option de mise à jour n'est pas disponible, votre navigateur est déjà à jour.

Cette année, Google a corrigé six vulnérabilités zero-day, dont deux qui avaient déjà été exploitées et corrigées en septembre : CVE-2023-5217 et CVE-2023-4863.