Une grave vulnérabilité de sécurité sur Chrome vient d'être corrigée

Selon MacRumors , Google a publié une mise à jour de sécurité critique pour Chrome sur macOS, Windows et Linux afin de corriger une vulnérabilité zero-day activement exploitée. Dans la mise à jour de Chrome, Google indique être « conscient de la présence de la vulnérabilité CVE-2023-6345 ».

Découverte la semaine dernière par des chercheurs en sécurité du Threat Analysis Group (TAG) de Google, cette nouvelle vulnérabilité serait liée à la bibliothèque graphique 2D open source Skia, intégrée au moteur graphique de Chrome. Google n'a pas fourni plus de détails sur la manière dont la vulnérabilité CVE-2023-6345 est exploitée, afin de ne pas alerter les acteurs malveillants.

Selon les notes de mise à jour macOS 119.0.6045.199, l'exploit permet à un ou plusieurs attaquants de « potentiellement effectuer une évasion du sandbox via un fichier malveillant », ce qui pourrait théoriquement les conduire à exécuter du code arbitraire et à voler des données.

Par défaut, Chrome se met automatiquement à jour dès qu'une nouvelle version est disponible. Cependant, il est conseillé aux utilisateurs de procéder à la mise à jour manuelle immédiatement pour éviter les risques d'exploitation zero-day. Dans les paramètres de Chrome, cliquez sur l'onglet « À propos de Chrome », puis sur « Mettre à jour Google Chrome ». Si aucune option de mise à jour n'est disponible, la mise à jour est déjà effectuée.

Cette année, Google a corrigé six vulnérabilités zero-day, dont deux qui ont également été exploitées et traitées en septembre : CVE-2023-5217 et CVE-2023-4863.