Google a déployé des mises à jour de sécurité pour le navigateur Web Chrome afin de corriger une faille zero-day de haute gravité qui, selon lui, a été exploitée de manière sauvage.
La vulnérabilité, attribuée à l’identifiant CVE CVE-2023-7024a été décrit comme un bug de débordement de tampon basé sur le tas dans le framework WebRTC qui pourrait être exploité pour entraîner des plantages de programmes ou l’exécution de code arbitraire.
Clément Lecigne et Vlad Stolyarov du Threat Analysis Group (TAG) de Google ont été reconnus pour avoir découvert et signalé la faille.
Aucun autre détail sur le défaut de sécurité n’a été divulgué pour éviter de nouveaux abus, avec Google reconnaissant qu ‘ »un exploit pour CVE-2023-7024 existe dans la nature ».
Ce développement marque la résolution du huitième jour zéro activement exploité dans Chrome depuis le début de l’année –
Au total, 26 447 vulnérabilités ont été divulguées jusqu’à présent en 2023, dépassant l’année précédente de plus de 1 500 CVE, selon données compilées par Qualysavec 115 failles exploitées par des acteurs malveillants et des groupes de ransomwares.
L’exécution de code à distance, le contournement des fonctionnalités de sécurité, la manipulation de tampon, l’élévation de privilèges et les failles de validation et d’analyse des entrées sont apparus comme les principaux types de vulnérabilités.
Il est recommandé aux utilisateurs de passer à la version 120.0.6099.129/130 de Chrome pour Windows et à la version 120.0.6099.129 pour macOS et Linux afin d’atténuer les menaces potentielles.
Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs dès qu’ils sont disponibles.