Vous utilisez Google Chrome ? Il est temps de mettre votre navigateur à jour, un patch correctif pour une faille zero day activement exploitée est disponible.
Il y a quelques jours, nous vous rapportions que Google corrigeait une faille de sécurité critique et exploitée dans Chrome, relative au moteur JavaScript V8. Un nouveau patch a été déployé pour le navigateur, qui comble cette fois-ci une nouvelle vulnérabilité zero day.
Une faille zero day activement exploitée
La faille CVE-2023-2136 concerne Skia, une bibliothèque logicielle libre graphique d'images vectorielles 2D écrite en C++, détenue par Google. Elle fournit des API pour de multiples plateformes. Sur Chrome, les API de Skia sont utilisées à des fins de rendu graphique de texte, images et animations, il s'agit donc d'un composant essentiel du programme.
La vulnérabilité a été identifiée par l'ingénieur en sécurité Clément Lecigne, qui fait partie du Threat Analysis Group (TAG) de Google. Celle-ci peut causer un rendu incorrect, une corruption de la mémoire, ainsi qu'une exécution de code arbitraire entraînant un accès non autorisé au système.
La firme de Mountain View admet que CVE-2023-2136 a déjà été activement exploitée pour des attaques, mais ne se montre pas très bavard sur le sujet. Comme toujours dans une telle situation, elle ne communique pas non plus la manière dont la faille est exploitée afin de ne pas donner d'idées à des pirates, tant qu'une majorité d'utilisateurs n'a pas installé le correctif.
Une mise à jour déjà disponible sur Windows et Mac
La nouvelle version stable de Google Chrome incluant le patch de sécurité est la 112.0.5615.137, qui corrige au total huit vulnérabilités. Elle est disponible sur les systèmes d'exploitation Windows et Mac et le sera prochainement sur les distributions Linux.
En principe, la mise à jour doit s'installer de manière transparente au prochain démarrage du navigateur, mais vous pouvez forcer l'opération en vous rendant dans le menu de Chrome : Aide < À propos de Google Chrome. La finalisation de l'installation requiert un redémarrage du logiciel.
Source : Bleeping Computer