Attention utilisateurs de Chrome et de navigateurs basés sur Chromium : Votre activité Internet est vulnérable aux cyberattaques, à moins que vous ne mettiez à jour votre navigateur vers la dernière version.
Mardi, Google a annoncé sur le blog des mises à jour de Chrome qu’une nouvelle version de Chrome, 119.0.6045.199 pour Mac et Linux et 119.0.6045.199/.200 pour Windows, est disponible, corrigeant sept vulnérabilités de sécurité différentes. Tous ces problèmes découverts sont classés comme “importants” en termes de gravité, mais Google n’en nomme que six :
-
Haut CVE-2023-6348 : Confusion de type dans le correcteur orthographique. Rapporté par Mark Brand de Google Project Zero le 2023-10-10
-
Haut CVE-2023-6347 : Utilisation après libération dans Mojo. Rapporté par Leecraso et Guang Gong de l’Institut de recherche sur les vulnérabilités 360 le 2023-10-21
-
Haut CVE-2023-6346 : Utilisation après libération dans WebAudio. Rapporté par Huang Xilin du laboratoire de sécurité Light-Year d’Ant Group le 2023-11-09
-
Haut CVE-2023-6350 : Accès mémoire hors limites dans libavif. Rapporté par l’Université de Fudan le 2023-11-13
-
Haut CVE-2023-6351 : Utilisation après libération dans libavif. Rapporté par l’Université de Fudan le 2023-11-13
-
Haut CVE-2023-6345 : Débordement d’entier dans Skia. Rapporté par Benoît Sevens et Clément Lecigne du groupe d’analyse des menaces de Google le 2023-11-24
Bien que toutes les vulnérabilités soient importantes à corriger, c’est la dernière, CVE-2023-6345, qui est la plus préoccupante. Google a confirmé qu’il est conscient qu’un exploit pour cette vulnérabilité existe dans la nature, ce qui signifie que de mauvais acteurs savent probablement l’utiliser contre les utilisateurs, ou l’ont déjà fait.
Nous ne savons pas grand-chose sur le problème, si ce n’est qu’il s’agit d’un défaut de débordement d’entier dans Skia. Skia est un moteur graphique 2D open source, tandis qu’un débordement d’entier se produit lorsque le résultat d’une opération ne convient pas à la quantité de mémoire que le système réserve. Bien que tous les défauts de débordement d’entier ne conduisent pas à des vulnérabilités, celui-ci le fait, ce qui signifie que de mauvais acteurs pourraient être capables de l’utiliser pour prendre le contrôle du système.
Cette mise à jour fait suite à une mise à jour du 14 novembre qui a corrigé quatre vulnérabilités de sécurité, ainsi qu’à une mise à jour du 7 novembre qui en a corrigé une. La dernière mise à jour qui a corrigé une vulnérabilité zero-day a été publiée le 11 septembre.
Comment mettre à jour votre navigateur
Comme ce défaut affecte le code sous-jacent utilisé dans Chrome, tous les navigateurs basés sur Chromium doivent être mis à jour pour corriger ce problème. Cela signifie évidemment Chrome, mais aussi des navigateurs comme Edge, Opera et Brave.
Votre navigateur peut être configuré pour se mettre à jour automatiquement, mais vous pouvez déclencher une mise à jour manuellement si elle n’a pas encore été installée. En général, cela se trouve dans les paramètres du navigateur. Dans Chrome, par exemple, vous pouvez cliquer sur les trois points dans le coin supérieur droit de la fenêtre, aller à Aide > À propos de Google Chrome, puis permettre au navigateur de rechercher une mise à jour. Si une mise à jour est disponible, suivez les instructions à l’écran pour l’installer.
