Google Avertit Les Utilisateurs D'Installer Immédiatement La Mise À Jour D'Urgence De Chrome

La semaine dernière, Google a publié une mise à jour de sécurité d’urgence pour ses 3,2 milliards d’utilisateurs de Chrome afin de traiter une vulnérabilité zero-day de haute gravité qui est activement exploitée dans la nature.

Google a déployé la nouvelle version de Chrome 112.0.5615.121 pour les systèmes Windows, Mac et Linux, en tant que mise à jour d’urgence, ce qui signifie que le problème de sécurité dans le navigateur Web est sérieux.

La mise à jour d’urgence de Chrome vers la version 112.0.5615.121 est unique, car elle ne corrige qu’un seul défaut de sécurité. En conséquence, les utilisateurs sont invités à appliquer la mise à jour à leur navigateur Chrome dès que possible et à bloquer les tentatives d’attaque.

La vulnérabilité zero-day a été soumise à Google par Clément Lecigne du groupe d’analyse des menaces de Google (TAG) le 11 avril 2023.

Dans une annonce de mise à jour du canal stable de Chrome pour les ordinateurs de bureau, publiée le 14 avril 2023, Google confirme qu’il « est conscient qu’un exploit pour CVE-2023-2033 existe dans la nature. »

Qu’est-ce que CVE-2023-2033 ?

À ce stade, Google n’a pas fourni publiquement de détails exacts sur ce que la mise à jour de sécurité – CVE-2023-2033 – est autre que le fait qu’il s’agit d’une « confusion de type dans V8. » Cela fait référence au moteur JavaScript utilisé par Chrome.

Une erreur de confusion de type se produit lorsque le programme utilise un type de méthode pour allouer une ressource, un objet ou une variable en utilisant un type, puis accède à cette ressource en utilisant une méthode de type différente et incompatible, entraînant un accès mémoire hors limites.

Cette vulnérabilité peut permettre à un attaquant distant d’exploiter potentiellement une corruption de tas via une page HTML conçue, indique la page CVE.

Le géant de la recherche a déclaré que « l’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif. » En d’autres termes, par précaution, Google ne divulguera pas les détails techniques de la vulnérabilité tant que la mise à jour d’urgence n’aura pas pu protéger la plupart des 3,2 milliards d’utilisateurs de Chrome.

Il a également noté : « Nous maintiendrons également des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent également, mais qui n’ont pas encore été corrigés. »

Bien que le navigateur Web vérifie automatiquement les nouvelles mises à jour, vous pouvez également vérifier les nouvelles mises à jour en allant dans le menu à trois points dans Chrome dans le coin supérieur droit, en cliquant sur « Aide », puis sur « À propos de Chrome ».

Le correctif de sécurité pour Google Chrome devrait être déployé pour tous les utilisateurs de Chrome dans les jours ou semaines à venir.

Google a remercié les chercheurs en sécurité qui ont informé l’entreprise de la vulnérabilité. « Nous tenons également à remercier tous les chercheurs en sécurité qui ont travaillé avec nous pendant le cycle de développement pour empêcher les bogues de sécurité d’atteindre le canal stable », a déclaré l’entreprise.