Google Chrome : encore une faille zero-day exploitée dans des attaques (CVE-2023-5217)
Il y a quelques jours, Google a mis en ligne une nouvelle mise à jour de sécurité pour son navigateur Google Chrome. L'objectif : corriger la 5ème faille zero-day de l'année 2023 découverte dans son navigateur. Faisons le point sur cette menace.
Associée à la référence CVE-2023-5217, cette faille de sécurité importante hérite d'un score CVSS v3.1 de 8.8 sur 10. Signalée par Clément Lecigne de l'équipe Google Threat Analysis Group, cette faille de sécurité de type "heap buffer overflow" se situe dans une fonction d'encodage de la bibliothèque de codecs vidéo libvpx.
D'après Google, cette vulnérabilité est impliquée au sein de cyberattaque et un exploit est déjà disponible : "Google sait qu'il existe un programme d'exploitation pour CVE-2023-5217 dans la nature", peut-on lire dans le bulletin de sécurité officiel. D'ailleurs, Maddie Stone de l'équipe Google Threat Analysis Group affirme que cette vulnérabilité a été utilisée pour installer un malware sur des machines. Comme à son habitude, Google ne donne pas de détails techniques pour laisser le temps à ses utilisateurs d'installer le correctif.
Ces dernières heures, l'agence américaine CISA a ajouté la vulnérabilité CVE-2023-5217 à son catalogue des failles de sécurité connues et exploitées dans le cadre d'attaques.
Au-delà de corriger cette faille de sécurité zero-day, cette mise à jour intègre "10 correctifs de sécurité" d'après Google, notamment des patchs pour ces deux autres vulnérabilités : CVE-2023-5186 et CVE-2023-5187, toutes les deux de type "use after free" et situées respectivement dans le Gestionnaire de mots de passe et le Gestionnaire d'extensions de Chrome.
Récemment, les développeurs ont corrigé une autre faille zero-day dans Google Chrome, mais elle était liée à la bibliothèque libwebp également utilisée par d'autres projets, y compris les navigateurs Mozilla Firefox et Microsoft Edge, mais aussi Signal et 1Password.
Si vous utilisez Google Chrome, il est plus que recommandé d'installer la dernière version : 117.0.5938.132. Cette version est disponible pour Windows, macOS et Linux.