Google a déployé des mises à jour de sécurité pour résoudre sept problèmes de sécurité dans son navigateur Chrome, dont un Zero Day qui a été activement exploité dans la nature.
Suivi comme CVE-2023-6345la vulnérabilité de haute gravité a été décrite comme un bug de dépassement d’entier dans Skia, une bibliothèque graphique 2D open source.
Benoît Sevens et Clément Lecigne du Threat Analysis Group (TAG) de Google ont été crédités d’avoir découvert et signalé la faille le 24 novembre 2023.
Comme c’est généralement le cas, le géant de la recherche reconnu qu’« un exploit pour CVE-2023-6345 existe dans la nature », mais n’a pas partagé d’informations supplémentaires sur la nature des attaques et les acteurs menaçants qui pourraient l’utiliser comme arme dans des attaques réelles.
Il convient de noter que Google a publié des correctifs pour une faille similaire de dépassement d’entier dans le même composant (CVE-2023-2136) en avril 2023, qui avait également été activement exploitée en tant que jour zéro, soulevant la possibilité que CVE-2023-6345 puisse être un contournement de patch pour le premier.
CVE-2023-2136 aurait « permis à un attaquant distant qui avait compromis le processus de rendu d’effectuer potentiellement une sortie sandbox via une page HTML contrefaite ».
Avec la dernière mise à jour, le géant de la technologie a résolu un total de six jours zéro dans Chrome depuis le début de l’année –
Il est recommandé aux utilisateurs de passer à la version 119.0.6045.199/.200 de Chrome pour Windows et à la version 119.0.6045.199 pour macOS et Linux afin d’atténuer les menaces potentielles. Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs dès qu’ils sont disponibles.