Chrome : mise à jour obligatoire

Identifiée sous le nom de CVE-2023-5217, cette vulnérabilité de haute sévérité a été décrite comme un débordement de mémoire tampon basé sur un tas dans le format de compression VP8 dans libvpx, une bibliothèque de codecs vidéo libre de Google et de l’Alliance for Open Media (AOMedia).

L’exploitation de telles failles de débordement de mémoire tampon peut entraîner le plantage du programme ou l’exécution de code arbitraire, ce qui a un impact sur sa disponibilité et son intégrité.

Clément Lecigne, du Threat Analysis Group (TAG) de Google, a été crédité de la découverte et du signalement de la faille le 25 septembre 2023. Une autre chercheuse, Maddie Stone, a indiqué sur X (anciennement Twitter) que cette faille avait été utilisée de manière abusive par un fournisseur de logiciels espions commerciaux pour cibler des personnes à haut risque.

Aucun détail supplémentaire n’a été divulgué par le géant de la technologie, si ce n’est qu’il a reconnu être « conscient qu’un exploit pour CVE-2023-5217 existe dans la nature ».
Cette dernière découverte porte à cinq le nombre de vulnérabilités « zero-day » dans Google Chrome pour lesquelles des correctifs ont été publiés cette année.
Ce développement intervient alors que Google a attribué un nouvel identifiant CVE, CVE-2023-5129, à la faille critique de la bibliothèque d’images libwebp – initialement répertoriée sous le nom de CVE-2023-4863 – qui a fait l’objet d’une exploitation active dans la nature, compte tenu de sa large surface d’attaque.
Il est recommandé aux utilisateurs de passer à la version 117.0.5938.132 de Chrome pour Windows, macOS et Linux afin d’atténuer les menaces potentielles. Les utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi sont également invités à appliquer les correctifs dès qu’ils seront disponibles.