Google a publié vendredi des mises à jour hors bande pour résoudre une faille zero-day activement exploitée dans son navigateur Web Chrome, ce qui en fait le premier bogue de ce type à être corrigé depuis le début de l’année.
Suivi comme CVE-2023-2033la vulnérabilité de haute gravité a été décrite comme une problème de confusion de type dans le moteur JavaScript V8. Clement Lecigne du Threat Analysis Group (TAG) de Google a été crédité d’avoir signalé le problème le 11 avril 2023.
« La confusion de type dans la V8 de Google Chrome avant 112.0.5615.121 permettait à un attaquant distant d’exploiter potentiellement la corruption du tas via une page HTML spécialement conçue », selon à la base de données nationale sur les vulnérabilités (NVD) du NIST.
Le géant de la technologie reconnu qu' »un exploit pour CVE-2023-2033 existe dans la nature », mais s’est abstenu de partager des spécificités techniques supplémentaires ou des indicateurs de compromission (IoC) pour empêcher une exploitation ultérieure par des acteurs de la menace.
CVE-2023-2033 semble également partager des similitudes avec CVE-2022-1096, CVE-2022-1364, CVE-2022-3723 et CVE-2022-4262 – quatre autres défauts de confusion de type activement abusés dans V8 qui ont été corrigés par Google en 2022.
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
Google a clôturé un total de neuf jours zéro dans Chrome l’année dernière. Le développement intervient quelques jours après que Citizen Lab et Microsoft ont révélé l’exploitation d’une faille désormais corrigée dans Apple iOS par les clients d’un fournisseur de logiciels espions ténébreux nommé QuaDream pour cibler des journalistes, des personnalités de l’opposition politique et un employé d’une ONG en 2021.
Il est recommandé aux utilisateurs de mettre à niveau vers la version 112.0.5615.121 pour Windows, macOS et Linux afin d’atténuer les menaces potentielles. Il est également conseillé aux utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi d’appliquer les correctifs au fur et à mesure de leur disponibilité.