Après avoir corrigé une vulnérabilité zero-day de haute sévérité, Google a corrigé une autre vulnérabilité zero-day sévère dans son navigateur Chrome. Les utilisateurs doivent mettre à jour leurs appareils respectifs pour recevoir le correctif.
Une autre faille zero-day de Google Chrome a été corrigée
Google vient de publier une nouvelle mise à jour majeure de Chrome contenant de nombreux correctifs de sécurité, quelques jours après avoir corrigé le bug de type-confusion qui faisait l'objet d'une attaque. Avec la dernière version de Chrome 112.0.5615.137, Google a également déployé un correctif zero-day ainsi que d'autres correctifs.
Comme indiqué dans son avis, la dernière version de Chrome comprend huit correctifs de sécurité différents. Parmi ceux-ci, la vulnérabilité zero-day comprend un débordement d'entier de haute sévérité dans Skia de Chrome – une bibliothèque graphique 2D qui sert de moteur graphique pour le navigateur.
Bien que Google n'ait pas divulgué de détails explicites sur la faille afin d'éviter toute exploitation potentielle, l'entreprise a confirmé avoir détecté une faille active dans Chrome. Il a cependant confirmé avoir détecté une exploitation active de la faille CVE-2023-2136.
Cette vulnérabilité zero-day a d'abord attiré l'attention de Clément Lecigne du Threat Analysis Group de Google.
Outre cette vulnérabilité, Google a corrigé trois autres vulnérabilités de haute sévérité. Deux d'entre elles concernent des accès hors limites à la mémoire dans l'API Service Worker (CVE-2023-2133 et CVE-2023-2134). Ces vulnérabilités ont attiré l'attention du chercheur Rong Jian de VRI, qui a reçu une prime de 8 000 dollars pour son rapport.
La troisième correction de vulnérabilité concerne une faille “use-after-free” dans Chrome DevTools (CVE-2023-2135). Cette vulnérabilité a attiré l'attention de Cassidy Kim d'Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. Le signalement de cette vulnérabilité a valu à Kim une prime de 4 000 dollars.
Outre ces trois bogues importants, la dernière version de Chrome a également corrigé un débordement de mémoire tampon de moyenne gravité dans Chrome SQLite. En signalant cette faille, les chercheurs Nan Wang et Guang Gong du 360 Vulnerability Research Institute ont gagné une prime de 1000 dollars.
Google n'a pas donné de détails sur les quatre autres corrections de vulnérabilités incluses dans cette mise à jour de Chrome. Au lieu de cela, la déclaration d'une ligne dans son avis a simplement indiqué que certains correctifs étaient le résultat d'un travail de sécurité interne.
Le géant de la technologie a automatiquement déployé ces correctifs de sécurité avec le canal stable et stable étendu de Chrome 112.0.5615.137/138 pour Windows et 112.0.5615.137 pour Mac, promettant une version corrigée pour les utilisateurs de Linux prochainement.
Google Chrome pour Android version 112 (112.0.5615.135/.136) a également corrigé les mêmes failles de sécurité, comme le confirme un autre avis. Les utilisateurs d'Android recevront cette mise à jour depuis le Play Store officiel.
