Google publie une mise à jour en urgence pour corriger une faille zero day

Google vient de publier une importante mise à jour de sécurité pour corriger la première faille zero day de l’année de Chrome.

Vous utilisez Google Chrome quotidiennement ? N’attendez pas pour mettre à jour votre navigateur. Google vient en effet de déployer une mise à jour de sécurité pour corriger une faille zero day activement exploitée par des pirates. Il s’agit de la première faille zero day de Chrome depuis le début de l’année.

Toutes les versions de Chrome desktop concernées

Cette brèche (CVE-2023-2033), découverte par Clément Lecygne, un ingénieur en sécurité de Google, considérée par la firme de Mountain View comme de haute importance. Celle-ci exploite une confusion de type dans le moteur JavaScript V8. Pour faire simple, ce problème conduit le moteur JavaScript à interpréter certaines données de manière erronée, pouvant entraîner des comportements inattendus ou des erreurs dans le code. Ce genre de faille est couramment utilisé par les pirates pour faire planter le navigateur, mais également pour exécuter du code arbitraire sur la machine compromise.

Bien que Google ait indiqué que cette faille avait été exploitée par des pirates, la firme californienne n’a pas donné plus de détails quant aux éventuelles attaques. Comme à son habitude, l’entreprise préfère attendre qu’un maximum d’utilisateurs de Chrome procède à la mise à jour de leur navigateur avant de dévoiler plus de détails sur cette brèche.

Cette faille de sécurité, qui touche toutes les versions desktop de Chrome, a été corrigée par Google dans la version 112.0.5615.121 du navigateur. Bien que le téléchargement et l’installation des mises à jour dans le navigateur Web de Google se font automatiquement, vous pouvez forcer le processus pour appliquer la mise à jour sans plus attendre.

Pour ce faire, rendez-vous dans le menu principal de Chrome, puis dans Aide, entrez dans le menu À propos de Google Chrome. Le navigateur devrait alors rechercher automatiquement la disponibilité d’une mise à jour et procéder à son installation avant de vous demander de le Relancer. La procédure est la même que vous utilisiez Chrome sur Windows, macOS ou Linux.

Même si s’agit ici de la première faille zero day de l’année trouvée dans Chrome, d’autres seront très certainement à suivre. L’an passé, les chercheurs en sécurité en avaient déniché près d’une dizaine de ce type dans le navigateur. Mais si les failles zero day semblent aussi fréquentes dans Chrome, c’est aussi parce que son statut de navigateur le plus utilisé au monde monopolise l’attention des ingénieurs en sécurité. Et cela paraît plutôt logique. Chrome s’appuie sur le navigateur open source Chromium, base d’un grand nombre de navigateurs Web du marché, comme Brave, Vivaldi, ou encore Microsoft Edge.

Source : Bleeping Computer