Google a déployé mardi des correctifs d’urgence pour corriger une autre faille zero-day de haute gravité activement exploitée dans son navigateur Web Chrome.
La faille, suivie comme CVE-2023-2136est décrit comme un cas de débordement d’entier dans Ski, une bibliothèque graphique 2D open source. Clément Lecigne du Threat Analysis Group (TAG) de Google a été crédité d’avoir découvert et signalé la faille le 12 avril 2023.
« Le débordement d’entier dans Skia dans Google Chrome avant 112.0.5615.137 permettait à un attaquant distant qui avait compromis le processus de rendu d’effectuer potentiellement un échappement de bac à sable via une page HTML spécialement conçue », selon à la base de données nationale sur les vulnérabilités (NVD) du NIST.
Le géant de la technologie, qui a également corrigé sept autres problèmes de sécurité avec la dernière mise à jour, a déclaré qu’il était au courant de l’exploitation active de la faille, mais n’a pas divulgué de détails supplémentaires pour empêcher de nouveaux abus.
Le développement marque la deuxième vulnérabilité du jour zéro de Chrome à être exploitée par des acteurs malveillants cette année, et survient quelques jours seulement après que Google a corrigé CVE-2023-2033 la semaine dernière. Il n’est pas immédiatement clair si les deux jours zéro ont été enchaînés dans le cadre d’attaques dans la nature.
Il est recommandé aux utilisateurs de mettre à niveau vers la version 112.0.5615.137 pour Windows, macOS et Linux afin d’atténuer les menaces potentielles. Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs au fur et à mesure de leur disponibilité.