Une mise à jour du navigateur Chrome est déployée par Google. Elle a pour but de corriger une dizaine de vulnérabilités de sécurité, dont une est activement exploitée dans des attaques. Pour cette vulnérabilité 0-day seule, le niveau de dangerosité n'est pas jugé critique.
La vulnérabilité CVE-2023-5217 est néanmoins susceptible de faire partie d'une chaîne d'exploitation critique. Un problème se situe au niveau de la bibliothèque libvpx pour l'encodage vidéo au format VP8.
La faille a été signalée par un chercheur en sécurité du Threat Analysis Group de Google le 25 septembre. La correction est intervenue en l'espace de deux jours. Pas beaucoup plus de détails pour le moment, si ce n'est que la vulnérabilité entre dans le cadre d'une exploitation pour l'installation d'un spyware.
Cinq 0-day pour Chrome en 2023
Il est plus spécifiquement fait mention d'une utilisation pour un spyware commercialisé par une société de surveillance. L'actualité récente a mis en lumière des cas d'infection par Pegasus de NSO Group et Predador de Cytrox (ou l'alliance Intellexa).
BleepingComputer souligne qu'il s'agit de la cinquième vulnérabilité 0-day corrigée par Google depuis le début de cette année. Compte tenu de la bibliothèque logicielle concernée, il est probable que des corrections devront être appliquées pour d'autres produits qui ne sont pas nécessairement dans le giron de Google.
Pour Google Chrome, les versions antérieures à 117.0.5938.132 sur Windows, macOS et Linux sont vulnérables.
