A moins d'avoir un bon antivirus à jour, une vulnérabilité pourrait permettre à des pirates de faire planter le navigateur Web de Google, et même de voler les données personnelles des utilisateurs, si ce n'est plus.
Les développeurs de Chrome ont dû travailler dur cette année. Le navigateur le plus populaire au monde a, en effet, fait l'objet de plusieurs mises à jour urgentes, toutes concernant des failles zero-day.
La dernière en date, répertoriée sous le nom de CVE-2023-6345 et signalée ce 24 novembre, ouvre une sacrée brèche dans les appareils des internautes, et pourrait affecter d'autres logiciels que Google Chrome, voire même… des systèmes d'exploitation.
Planter Chrome pour accéder aux données des utilisateurs
Si vous utilisez le navigateur de Google, vous avez tout intérêt à vérifier dès maintenant la version installée sur votre ordinateur. En effet, la firme vient de lancer en urgence un correctif pour combler une faille affectant, une nouvelle fois, le moteur graphique 2D Skia, qui permet de faire planter Chrome et de lancer du code arbitraire. Une bonne opportunité pour les pirates, qui doivent déjà être nombreux à se pencher sur le sujet. Il est donc conseillé de mettre à jour ce logiciel le plus rapidement possible.
La version concernée est la 119.0.6045.199/.200 pour Windows, et la 119.0.6045.199 pour macOS et Linux. Votre navigateur devrait rapidement installer ce correctif de lui-même, en fonction de vos paramètres, bien entendu. Si Chrome ne trouve pas encore cette mise à jour chez vous, pas de panique : Google affirme que son déploiement prendra plusieurs jours ou semaines pour atteindre tous utilisateurs.
Une faille utilisée pour des campagnes d'espionnage ?
CVE-2023-6345 a été découverte par Benoît Sevens et Clément Lecigne du Threat Analysis Group (TAG) de Google. Ce département de recherche est réputé pour repérer des vulnérabilités zero-day souvent exploitées par des États dans le cadre de campagnes d'espionnage, par exemple. Bien que Google n'en dise pas plus sur l'impact actuel de cette faille, elle serait déjà utilisée par des acteurs malveillants, et donc certainement pas par n'importe lesquels.
Il faudra cependant attendre un peu pour en savoir plus. « L'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce que la majorité des utilisateurs aient reçu un correctif », explique Google. « Nous maintiendrons également des restrictions si le bogue existe dans une bibliothèque tierce dont dépendent d'autres projets, mais qui n'a pas encore été corrigée ».
En effet, Skia est aussi utilisé par ChromeOS et Android. Si la faille affectant Chrome peut également être exploitée sur ces deux systèmes d'exploitation, cela pourrait mettre en danger un nombre encore plus important d'appareils. Il appartient désormais à Google de veiller à ce que cela ne se produise pas.
Source : BleepingComputer
