Google Chrome sous le feu de l’attaque : une nouvelle vulnérabilité exploitée activement

Répertoriée sous le nom de CVE-2023-6345, la vulnérabilité de haute sévérité a été décrite comme un débordement d’entier dans Skia, une bibliothèque graphique 2D open source.

Benoît Sevens et Clément Lecigne, du Threat Analysis Group (TAG) de Google, ont été chargés de découvrir et de signaler la faille le 24 novembre 2023.

Comme c’est généralement le cas, le géant de la recherche a reconnu qu' »un exploit pour CVE-2023-6345 existe dans la nature », mais s’est abstenu de partager des informations supplémentaires sur la nature des attaques et les acteurs de la menace qui pourraient l’utiliser dans le cadre d’attaques réelles.

Il convient de noter que Google a publié des correctifs pour une faille similaire de débordement d’entier dans le même composant (CVE-2023-2136) en avril 2023 qui avait également fait l’objet d’une exploitation active en tant que jour zéro, ce qui soulève la possibilité que CVE-2023-6345 puisse être un contournement de correctif pour le premier. CVE-2023-2136 aurait « permis à un attaquant distant ayant compromis le processus de rendu d’effectuer potentiellement une évasion du bac à sable via une page HTML conçue ».

Avec cette dernière mise à jour, le géant technologique a corrigé un total de six failles de sécurité dans Chrome depuis le début de l’année. Il est recommandé aux utilisateurs de passer à la version 119.0.6045.199/.200 de Chrome pour Windows et à la version 119.0.6045.199 pour macOS et Linux afin d’atténuer les menaces potentielles. Les utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi sont également invités à appliquer les correctifs dès qu’ils seront disponibles auprès de leurs fournisseurs/développeurs respectifs.