Entre deux versions majeures, Google vient d'augmenter la fréquence des mises à jour de sécurité pour son navigateur Chrome, mais c'est en urgence qu'une publication intervient en ce début de semaine. Une mise à jour de sécurité a pour but de corriger une vulnérabilité CVE-2023-4863.
Cette vulnérabilité est annoncée critique. Un niveau de dangerosité que Google n'attribue pas souvent. Ce niveau critique signifie qu'un attaquant est en mesure d'exécuter du code arbitraire avec les privilèges de l'utilisateur, dans le cadre d'une navigation normale.
Qui plus est, la vulnérabilité en question fait l'objet d'une exploitation active dans des attaques. Elle a été repérée avant la disponibilité du correctif. C'est accessoirement la quatrième vulnérabilité 0-day pour Chrome depuis le début de l'année 2023.
Signalement par Apple et le Citizen Lab
Pour CVE-2023-4863, il est fait mention d'une faille de type dépassement de tas en lien avec le format d'image WebP. Google ne livre toutefois que peu détails en attendant le déploiement du patch avec une ampleur suffisante.
" Nous maintenons également des restrictions si le bug existe dans une bibliothèque tierce dont d'autres projets dépendent et qui n'a pas encore été corrigée ", ajoute Google à son habitude.
Un indice important néanmoins, la vulnérabilité a été signalée par Apple (Apple Security Engineering and Architecture) et le Citizen Lab de l'Université de Toronto le 6 septembre dernier. Difficile alors de ne pas penser à une chaîne d'exploitation pour le déploiement du spyware Pegasus.
Google Chrome et autres
Des mises à jour pour divers navigateurs basés sur Chromium sont à surveiller. Du côté de Google Chrome, c'est une mise à jour vers la version 116.0.5845.187/.188 pour Windows, 116.0.5845.187 pour macOS et Linux.
