Google a déployé lundi des correctifs de sécurité hors bande pour corriger une faille de sécurité critique dans son navigateur Web Chrome qui, selon lui, a été exploitée de manière sauvage.
Suivi comme CVE-2023-4863le problème a été décrit comme un cas de débordement de tampon de tas qui réside dans le Format d’image WebP cela pourrait entraîner l’exécution de code arbitraire ou un crash.
Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de la Munk School de l’Université de Toronto ont été reconnus pour avoir découvert et signalé la faille le 6 septembre 2023.
Le géant de la technologie n’a pas encore divulgué de détails supplémentaires sur la nature de l’exploit, mais a noté qu’il était « conscient qu’un exploit pour CVE-2023-4863 existe dans la nature ».
Avec le dernier correctif, Google a résolu un total de quatre jours zéro dans Chrome depuis le début de l’année –
Le développement intervient le jour même où Apple a étendu les correctifs pour corriger CVE-2023-41064 pour les appareils et systèmes d’exploitation ci-dessous :
CVE-2023-41064 concerne un problème de dépassement de tampon dans le composant Image I/O qui pourrait conduire à l’exécution de code arbitraire lors du traitement d’une image conçue de manière malveillante.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Selon le Citizen Lab, CVE-2023-41064 aurait été utilisé conjointement avec CVE-2023-41061, un problème de validation dans Wallet, dans le cadre d’une chaîne d’exploitation iMessage sans clic nommée BLASTPASS pour déployer Pegasus sur entièrement- iPhones corrigés exécutant iOS 16.6.
Le fait que CVE-2023-41064 et CVE-2023-4863 s’articulent autour du traitement d’image et que ce dernier ait été signalé par Apple et le Citizen Lab suggère qu’il pourrait y avoir un lien potentiel entre les deux.
Il est recommandé aux utilisateurs de passer à la version 116.0.5845.187/.188 de Chrome pour Windows et à la version 116.0.5845.187 pour macOS et Linux afin d’atténuer les menaces potentielles. Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs dès qu’ils sont disponibles.