Google publie une mise en jour pour son navigateur Chrome sur ordinateur. Elle corrige un total de sept vulnérabilités de sécurité, dont une vulnérabilité CVE-2023-6345 qui est activement exploitée dans des attaques.
La vulnérabilité 0-day est décrite comme un problème de dépassement d’entier dans Skia. Il s’agit d’une bibliothèque logicielle graphique et multiplateforme d’images vectorielles 2D. Skia sert aussi de moteur graphique pour ChromeOS, Android et Flutter, parmi de nombreux autres produits.
Le problème de sécurité a été signalé le 24 novembre par deux chercheurs du Threat Analysis Group (TAG) de Google. Le correctif idoine a été rendu disponible quatre jours plus tard.
Sixième 0-day pour Chrome en 2023
Le TAG a pour mission de suivre les acteurs impliqués dans des opérations d’information, attaques soutenues par des gouvernements et abus à motivation financière. Il s’intéresse en outre aux activités de fournisseurs de logiciels espions commerciaux.
Pour le moment, Google n’entre pas dans les détails concernant la vulnérabilité CVE-2023-6345 et son exploitation. L’urgence est d’abord le déploiement du patch à grande échelle. » Nous maintiendrons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent d’autres projets, mais qui n’a pas encore été corrigée « , ajoute Google.
La mise à jour correctrice de Google Chrome est proposée pour Windows en version 119.0.6045.199/.200, macOS et Linux en version 119.0.6045.199.