21/11/2024

Actu CybersécuritéLogiciel - OS

Google Chrome : encore une faille zero-day exploitée dans des attaques (CVE-2023-5217)

Il y a quelques jours, Google a mis en ligne une nouvelle mise à jour de sécurité pour son navigateur Google Chrome. L'objectif : corriger la 5ème faille zero-day de l'année 2023 découverte dans son navigateur. Faisons le point sur cette menace.

Associée à la référence CVE-2023-5217, cette faille de sécurité importante hérite d'un score CVSS v3.1 de 8.8 sur 10. Signalée par Clément Lecigne de l'équipe Google Threat Analysis Group, cette faille de sécurité de type "heap buffer overflow" se situe dans une fonction d'encodage de la bibliothèque de codecs vidéo libvpx.

D'après Google, cette vulnérabilité est impliquée au sein de cyberattaque et un exploit est déjà disponible : "Google sait qu'il existe un programme d'exploitation pour CVE-2023-5217 dans la nature", peut-on lire dans le bulletin de sécurité officiel. D'ailleurs, Maddie Stone de l'équipe Google Threat Analysis Group affirme que cette vulnérabilité a été utilisée pour installer un malware sur des machines. Comme à son habitude, Google ne donne pas de détails techniques pour laisser le temps à ses utilisateurs d'installer le correctif.

Ces dernières heures, l'agence américaine CISA a ajouté la vulnérabilité CVE-2023-5217 à son catalogue des failles de sécurité connues et exploitées dans le cadre d'attaques.

Au-delà de corriger cette faille de sécurité zero-day, cette mise à jour intègre "10 correctifs de sécurité" d'après Google, notamment des patchs pour ces deux autres vulnérabilités : CVE-2023-5186 et CVE-2023-5187, toutes les deux de type "use after free" et situées respectivement dans le Gestionnaire de mots de passe et le Gestionnaire d'extensions de Chrome.

Récemment, les développeurs ont corrigé une autre faille zero-day dans Google Chrome, mais elle était liée à la bibliothèque libwebp également utilisée par d'autres projets, y compris les navigateurs Mozilla Firefox et Microsoft Edge, mais aussi Signal et 1Password.

Si vous utilisez Google Chrome, il est plus que recommandé d'installer la dernière version : 117.0.5938.132. Cette version est disponible pour Windows, macOS et Linux.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.