Mettez Chrome à jour, Google vient (encore) de corriger une faille zero day

Une importante faille de sécurité a été découverte dans le navigateur Web de Google. La firme de Moutain View a publié en urgence un patch de sécurité pour corriger la cinquième faille zero day de Chrome depuis le début de l’année.

Google vient de corriger la cinquième faille zero day de l’année dans Chrome. Le navigateur a en effet été mis à jour en urgence par l’entreprise de Mountain View, après qu’une importante brèche, activement exploitée par des hackers, a été découverte. Et c’est (encore) Clément Lecigne, ingénieur en sécurité au sein du Threat Analysis Group de Google qui l’a mise au jour.

Un problème lié à une bibliothèque de codecs vidéo

Répertoriée sous l’intitulé CVE-2023-5217, cette vulnérabilité de haute importance concernerait libvpx, une bibliothèque de codecs vidéo gratuite développée par Google et l’Alliance for Open Media, utilisée pour l’encodage des vidéos dans les formats VP8 et VP9. C’est d’ailleurs dans le module d’encodage vidéo en VP8 qu’un problème de débordement de tas a été détecté. Concrètement, les pirates peuvent utiliser cette brèche pour exécuter du code arbitraire, et potentiellement pendre le contrôle de la machine ciblée.

Comme le rapporte Bleeping Computer, Maddie Stone, une chercheuse en sécurité du Google Threat Analysis Group a indiqué sur Twitter que la faille zero day CVE-2023-5217 avait été utilisée par un éditeur de logiciels de surveillance pour installer des outils de cyberespionnage.

.@_clem1 discovered another ITW 0-day in use by a commercial surveillance vendor: CVE-2023-5217. Thank you to Chrome for releasing a patch in TWO ?day!! https://t.co/QhzJonwLXi

— Maddie Stone (@maddiestone) September 27, 2023

Comme à son habitude, Google se contente du strict minimum quant aux détails de cette nouvelle faille zero day.

« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient à jour avec un correctif. Nous conserverons également les restrictions si le bug existe dans une bibliothèque tierce dont dépendent également d’autres projets, mais qui n’a pas encore été corrigée. » a simplement indiqué la firme de Mountain View.

Mettez Chrome à jour sans attendre

La faille CVE-2023-5217 a été corrigée dans la version 117.0.5937.132 de Chrome sur Windows, macOS et Linux. Si le navigateur est censé installer de lui-même la mise à jour, il est probable qu’il ne le fasse pas de manière immédiate. Vous pouvez toutefois forcer son installation très facilement. Pour ce faire, cliquez sur le menu principal de Chrome, rendez-vous dans le menu Aides, puis sélectionnez À propos de Chrome. Le navigateur va alors rechercher la disponibilité de la dernière mise à jour et, le cas échéant, va s’occuper de la télécharger et de l’installer sur votre machine avant de vous demander de redémarrer Chrome.

Source : Bleeping Computer