Google publie une mise en jour en urgence pour son navigateur Chrome. Elle a pour but de corriger une vulnérabilité pour laquelle il existe un exploit dans la nature. Autrement dit, elle fait l'objet d'une exploitation active dans des attaques.

Pour Google Chrome, il s'agit de la première vulnérabilité 0-day de cette année 2023, à savoir une vulnérabilité de sécurité exploitée alors qu'un correctif n'était pas disponible. L'année dernière, Google Chrome a connu un total de neuf vulnérabilités zero-day.

La vulnérabilité de sécurité CVE-2023-2033 est présentée comme une confusion de type dans le moteur JavaScript V8 de Chrome. D'après la National Vulnerability Database du National Institute of Standards and Technology des États-Unis, elle permet à un attaquant d'exploiter potentiellement une corruption de tas via une page HTML malveillante.

Un chercheur du TAG de Google

Google va attendre un certain niveau de déploiement du correctif de sécurité idoine avant de communiquer davantage de détails sur la vulnérabilité et le code d'exploitation. Cette vulnérabilité a été signalée par le chercheur en sécurité Clément Lecigne du Threat Analysis Group de Google le 11 avril 2023.

google-chrome-portable

Ce même chercheur en sécurité a récemment contribué au signalement d'une vulnérabilité 0-day touchant les systèmes d'exploitation d'Apple iOS, iPadOS, macOS et son navigateur Safari. Elle permettait d'exécuter du code arbitraire avec les privilèges du noyau. Via un malware présent au niveau de l'application sur l'appareil, un attaquant pouvait en prendre le contrôle.

Les autres navigateurs basés sur Chromium à surveiller

Le Threat Analysis Group de Google a pour mission principale de suivre les acteurs impliqués dans des opérations d'information, attaques soutenues par des gouvernements et abus à motivation financière. Il suit également les activités de fournisseurs de logiciels espions commerciaux.

Cela donne déjà une petite idée du contexte de l'exploitation de la vulnérabilité CVE-2023-2033. Elle est comblée avec la mise à jour 112.0.5615.121 de Google Chrome sur 112.0.5615.100 / .101 sur Android.

Les utilisateurs d'autres navigateurs s'appuyant sur un socle Chromium ne devraient sans doute pas tarder à voir apparaître une mise à jour correctrice.