Google a déployé mercredi des correctifs pour remédier à un nouveau zero-day activement exploité dans le navigateur Chrome.
Suivi comme CVE-2023-5217la vulnérabilité de haute gravité a été décrite comme un débordement de tampon basé sur le tas au format de compression VP8 dans libvpxun logiciel gratuit codec vidéo bibliothèque de Google et de l’Alliance for Open Media (AOMedia).
L’exploitation de telles failles de dépassement de tampon peut entraîner des plantages du programme ou l’exécution de code arbitraire, affectant sa disponibilité et son intégrité.
Clément Lecigne du Threat Analysis Group (TAG) de Google a été crédité d’avoir découvert et signalé la faille le 25 septembre 2023, avec sa collègue chercheuse Maddie Stone. notant sur X (anciennement Twitter), il a été utilisé de manière abusive par un fournisseur commercial de logiciels espions pour cibler des individus à haut risque.
Aucun détail supplémentaire n’a été divulgué par le géant de la technologie, si ce n’est de reconnaître qu’il est « conscient qu’un exploit pour CVE-2023-5217 existe dans la nature ».
La dernière découverte porte à cinq le nombre de vulnérabilités zero-day de Google Chrome pour lesquelles des correctifs ont été publiés cette année –
Ce développement intervient alors que Google a attribué un nouvel identifiant CVE, CVE-2023-5129, à la faille critique de la bibliothèque d’images libwebp – initialement identifiée comme CVE-2023-4863 – qui a été activement exploitée dans la nature, compte tenu de sa vaste attaque. surface.
Il est recommandé aux utilisateurs de passer à la version 117.0.5938.132 de Chrome pour Windows, macOS et Linux afin d’atténuer les menaces potentielles. Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs dès qu’ils sont disponibles.