Pour son navigateur Chrome, Google publie une mise en jour en urgence. Elle corrige deux vulnérabilités de sécurité, dont une faille CVE-2023-3079 pour laquelle il existe un exploit dans la nature.
Il ne faut ainsi pas tarder à appliquer la mise à jour dans le but de combler la vulnérabilité qui fait l'objet d'une exploitation active dans des attaques. Elle est présentée comme une confusion de type dans le moteur JavaScript V8.
Selon la National Vulnerability Database du National Institute of Standards and Technology des États-Unis, la vulnérabilité permet à un attaquant distant de potentiellement exploiter une corruption de tas via une page HTML spécialement conçue.
Des détails à élucider
Il y a un risque d'accès à des emplacements mémoire sensibles pour l'exécution d'un code malveillant. Un niveau de dangerosité élevé est attribué, mais le bug peut éventuellement - et sans doute - faire partie d'une chaîne d'attaque.
Google va attendre un certain niveau de déploiement du correctif de sécurité avant de communiquer des détails sur la vulnérabilité et le code d'exploitation. La vulnérabilité a été signalée par le chercheur en sécurité Clément Lecigne du Threat Analysis Group de Google le 1er juin 2023.
Le Threat Analysis Group de Google a pour principale mission de suivre les acteurs impliqués dans des opérations d'information, attaques soutenues par des gouvernements et abus à motivation financière. Il suit aussi les activités de fournisseurs de logiciels espions commerciaux.
Troisième 0-day de 2023
C'est la troisième fois pour cette année 2023 qu'une vulnérabilité 0-day affecte Google Chrome, à savoir une vulnérabilité de sécurité exploitée alors qu'un correctif n'était pas encore disponible.
Les versions antérieures à la nouvelle version 114.0.5735.110 pour Windows et 114.0.5735.106 pour Mac et Linux sont vulnérables. Une mise à jour peut être sollicitée manuellement depuis les paramètres et À propos de Chrome.
A priori, d'autres navigateurs s'appuyant sur un socle Chromium ne vont pas tarder à proposer une mise à jour correctrice.