La semaine dernière, Google a publié une mise à jour de sécurité d'urgence pour l'ensemble de ses 3,2 milliards d'utilisateurs de Chrome afin de remédier à une vulnérabilité de type “zero-day” de grande gravité qui est activement exploitée dans la nature.
Google a déployé la nouvelle version 112.0.5615.121 de Chrome pour les systèmes Windows, Mac et Linux, en tant que mise à jour d'urgence, ce qui signifie que le problème de sécurité dans le navigateur Web est sérieux.
La mise à jour d'urgence de Chrome vers la version 112.0.5615.121 est unique, car elle ne corrige qu'une seule faille de sécurité. Par conséquent, les utilisateurs sont invités à appliquer la mise à jour à leur navigateur Chrome dès que possible et à bloquer les tentatives d'attaque.
La vulnérabilité zero-day a été soumise à Google par Clément Lecigne du Threat Analysis Group (TAG) de Google le 11 avril 2023.
Dans une annonce de mise à jour du canal stable de Chrome pour les ordinateurs de bureau, publiée le 14 avril 2023, Google confirme qu'il “est conscient qu'un exploit pour CVE-2023-2033 existe dans la nature”.
Qu'est-ce que CVE-2023-2033 ?
À ce stade, Google n'a pas fourni publiquement de détails exacts sur la mise à jour de sécurité – CVE-2023-2033 – autre qu'une “Confusion de type dans V8”. Il s'agit du moteur JavaScript utilisé par Chrome.
Une erreur de confusion de type se produit lorsque le programme utilise un type de méthode pour allouer une ressource, un objet ou une variable utilisant un type et qu'il accède ensuite à cette ressource en utilisant une méthode de type différent et incompatible, ce qui entraîne un accès à la mémoire hors limites.
Cette vulnérabilité peut permettre à un attaquant distant d'exploiter potentiellement la corruption de la mémoire via une page HTML conçue, indique la page CVE.
Le géant de la recherche a déclaré que “l'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soit mise à jour avec un correctif”. En d'autres termes, par mesure de précaution, Google ne divulguera pas les détails techniques de la vulnérabilité tant que la mise à jour d'urgence n'aura pas permis de protéger la plupart des 3,2 milliards d'utilisateurs de Chrome.
Google a également indiqué : “Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont dépendent d'autres projets, mais qui n'a pas encore été corrigée.”
Bien que le navigateur web vérifie automatiquement les nouvelles mises à jour, il est également possible de le faire en accédant au menu à trois points de Chrome dans le coin supérieur droit, en cliquant sur “Aide”, puis sur “À propos de Chrome”.
Le correctif de sécurité pour Google Chrome devrait être déployé pour tous les utilisateurs de Chrome dans les jours ou les semaines à venir.
Google a remercié les chercheurs en sécurité qui lui ont signalé la vulnérabilité. “Nous aimerions également remercier tous les chercheurs en sécurité qui ont travaillé avec nous pendant le cycle de développement afin d'éviter que des bogues de sécurité n'atteignent jamais le canal stable”, a déclaré la société.
