Google publie une mise à jour urgente de Chrome pour corriger une vulnérabilité activement exploitée

Google a publié une mise à jour d’urgence pour résoudre une faille activement exploitée dans son très populaire navigateur Chrome.

Le bug, répertorié sous le nom de CVE-2023-2033, a été considéré comme une vulnérabilité de gravité « élevée » par Google dans une mise à jour publiée le 14 avril. « Google sait qu’il existe un programme d’exploitation pour la CVE-2023-2033 dans la nature », a écrit le géant de la recherche dans son avis, ce qui signifie que le bug est activement ciblé par des acteurs malveillants.

La nouvelle version de Chrome est diffusée aux utilisateurs des versions stables Windows, Mac et Linux du navigateur. L’ensemble de la suite Chrome recevra probablement ces mises à jour dans les jours ou les semaines à venir.

Selon la base de données fédérale National Vulnerability Database, l’exploit provient d’une « confusion de type dans V8 dans Google Chrome » qui permet à « un attaquant distant d’exploiter potentiellement la corruption du tas via une page HTML conçue ». Google n’a pas fourni d’autres détails sur le bug.

« L’accès aux détails du bug et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif. Nous maintiendrons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent d’autres projets, mais qui n’a pas encore été corrigée », a déclaré Google.

Cette mise à jour était disponible lorsque Epoch Times a tenté de vérifier les nouvelles mises à jour via le menu Chrome > Aide > À propos de Google Chrome. Le navigateur recherche également automatiquement les dernières mises à jour et les installe sans intervention de l’utilisateur après un redémarrage du navigateur, mais de nombreux utilisateurs peuvent laisser leur navigateur ouvert pendant de longues périodes sans le fermer ni le mettre à jour.

Il est conseillé aux utilisateurs de passer à la version 112.0.5615.121 pour Windows, Mac et Linux afin de prévenir toute attaque éventuelle. Ceux qui utilisent des navigateurs basés sur Chromium tels que Brave, Tusk, Opera, Vivaldi, Microsoft Edge et diverses versions de Chromium « non Google » sont invités à appliquer les mises à jour dès qu’elles seront disponibles.

Les données de Statista montrent que Google Chrome est utilisé par plus de 3 milliards de personnes dans le monde, ce qui en fait de loin le navigateur le plus populaire. Le deuxième sur la liste est Safari d’Apple, avec environ 576 millions d’utilisateurs.

Le magazine Forbes a noté que le correctif du 14 avril est le premier bug « Zero-Day » à être corrigé par Google Chrome jusqu’à présent en 2023. « Google a fait un travail incroyable en corrigeant les vulnérabilités de Chrome cette année, et il est remarquable que nous ayons atteint le mois d’avril avant que le premier exploit Zero-Day ne se produise. Pour mettre cela en perspective, Chrome a eu 15 exploits Zero-Day en 2021 et neuf en 2022, donc le progrès est clair », a noté un rédacteur de technologie pour le magazine.

Séparément, l’agence de cybersécurité du département de la Sécurité intérieure (DHS) a récemment conseillé aux utilisateurs et aux administrateurs de mettre à jour leurs appareils et produits Apple, Microsoft et Adobe après la découverte d’une poignée de failles de sécurité.

« Apple a publié des mises à jour de sécurité pour corriger les vulnérabilités de plusieurs produits. Un pirate pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d’un appareil affecté », a déclaré l’Agence pour l’infrastructure et la sécurité de la cybersécurité (Cybersecurity Infrastructure & Security Agency) dans un communiqué du 11 avril.

Cette semaine, Apple a déployé sa mise à jour de sécurité pour les anciens iPhones, iPads, ordinateurs de bureau Mac et Macbooks après avoir publié iOS et iPadOS 16.4.1 et macOS Ventura 13.3.1 pour corriger deux failles de sécurité activement exploitées. Cette mise à jour a été étendue aux appareils plus anciens, y compris ceux qui utilisent iOS et iPadOS 15.7.5, macOS Monterey 12.6.5 et macOS Big Sur 11.7.6, afin de corriger les mêmes bugs de sécurité.