Les pirates exploitent une faille de sécurité affectant des milliards d'utilisateurs de Chrome, corrigez dès que possible
Si vous utilisez un navigateur Chrome (et il y a de fortes chances que ce soit le cas, simplement en raison de la part de marché dominante de Chrome), arrêtez ce que vous faites et lancez une mise à jour vers la dernière version. Oui, vous devriez recevoir les mises à jour de Chrome automatiquement, mais la dernière version corrige un certain nombre de vulnérabilités de sécurité alarmantes, dont une qui, selon Google, est activement exploitée dans la nature.
Cela étant le cas, il est préférable de ne pas tenter votre chance en attendant que Chrome publie la dernière version. Même lorsqu'il récupère les mises à jour, vous devez toujours recharger manuellement Chrome pour appliquer le correctif. Cela est particulièrement remarquable pour les personnes qui, comme cet auteur, gardent Chrome ouvert et laissent leur PC fonctionner 24 heures sur 24, 7 jours sur 7, ou le mettent en mode veille lorsqu'ils ne sont pas utilisés.
Google a mis en évidence cette semaine la faille zero-day activement exploitée dans une mise à jour de canal stable, ainsi qu'une demi-douzaine d'autres correctifs de sécurité, qui portent tous un indice de gravité « élevé ». Voici les autres, ainsi que la récompense de bug bounty qui l’accompagne, le cas échéant.
- [N/A][1491459] Élevé CVE-2023-6348 : confusion de type dans la vérification orthographique. Signalé par Mark Brand de Google Project Zero le 10/10/2023
- [31 000 $] [1494461] Élevé CVE-2023-6347 : utilisation gratuite dans Mojo. Rapporté par Leecraso et Guang Gong du 360 Vulnerability Research Institute le 2023-10-21
- [$10000][1500856] Élevé CVE-2023-6346 : utilisation gratuite dans WebAudio. Rapporté par Huang Xilin du laboratoire de sécurité Ant Group Light-Year le 09/11/2023
- [$7000][1501766] Élevé CVE-2023-6350 : accès mémoire hors limites dans libavif. Rapporté par l'Université de Fudan le 2023-11-13
- [$7000][1501770] Élevé CVE-2023-6351 : utilisation gratuite dans libavif. Rapporté par l'Université de Fudan le 2023-11-13
- [N/A][1505053] Élevé CVE-2023-6345 : Débordement d'entier dans Skia. Rapporté par Benoît Sevens et Clément Lecigne du Threat Analysis Group de Google le 2023-11-24.
En ce qui concerne la vulnérabilité Zero Day susmentionnée, Google indique qu'il est "conscient qu'un exploit pour CVE-2023-6345 existe dans la nature". mais qu'est ce que c'est exactement? Les détails complets n'ont pas été publiés car, comme c'est sa politique, Google s'abstient de divulguer de telles informations jusqu'à ce que la plupart des utilisateurs aient eu la possibilité de mettre à jour leur navigateur (et soient ainsi protégés de la faille). Ce que nous savons en revanche, c'est qu'il s'agit d'un débordement entier dans Skia.
"Un dépassement d'entier dans Skia dans Google Chrome avant 119.0.6045.199 permettait à un attaquant distant qui avait compromis le processus de rendu d'effectuer potentiellement une évasion du bac à sable via un fichier malveillant", indique la description dans la base de données nationale sur les vulnérabilités.
Skia est une bibliothèque graphique 2D open source qui gère les API courantes pour garantir le bon fonctionnement de Chrome sur différentes plates-formes matérielles et logicielles. Google a acquis Skia en 2005. Outre le navigateur Chrome, Skia est implémenté dans Android, ChromeOS, Firefox et plusieurs autres produits.
En fin de compte, vous devez mettre à jour votre navigateur Chrome avec la dernière version pour être protégé contre les menaces de sécurité décrites par Google. Pour ce faire, cliquez sur les trois points verticaux dans le coin supérieur droit et accédez à Aide > À propos de Google Chrome.
Chrome commencera alors à télécharger et à installer la dernière version, qui au moment d'écrire ces lignes est 119.0.6045.200 sous Windows. Assurez-vous d'appuyer sur le bouton Relancer lorsque vous avez terminé. Chrome prendra note des fenêtres et des onglets que vous avez ouverts et les chargera, mais vous souhaiterez également enregistrer tout travail avant de le faire (comme si vous tapez dans un CMS, par exemple).
HOTHARWARE
