Google publie une mise en jour pour son navigateur Chrome sur ordinateur. Elle est diffusée en urgence pour corriger une seule vulnérabilité de sécurité CVE-2023-7024. Celle-ci est activement exploitée dans des attaques.
La vulnérabilité 0-day (exploitation active avant un correctif) est décrite comme un problème de dépassement de la mémoire tampon dans WebRTC. Largement présente sur les navigateurs, cette technologie Web Real-Time Communication est utilisée pour des communications audio et vidéo en temps réel sur le Web.
La faille de sécurité a été signalée le 19 décembre par deux chercheurs du Threat Analysis Group (TAG) de Google. Le correctif a été rendu disponible dès le lendemain. Une rapidité notable, surtout en cette période de fin d’année.
Huitième 0-day pour Chrome en 2023
Google n’entre pas dans les détails au sujet de la vulnérabilité CVE-2023-7024 et son exploitation. La priorité est un déploiement du patch à grande échelle, sachant qu’une divulgation de détails techniques pourrait donner naissance à d’autres exploits.
Le Threat Analysis Group a pour mission de suivre les acteurs impliqués dans des opérations d’information, attaques soutenues par des gouvernements et abus à motivation financière. Il s’intéresse par ailleurs aux activités de fournisseurs de logiciels espions commerciaux.
La mise à jour correctrice de Google Chrome est proposée pour Windows avec la version 120.0.6099.129/130 du navigateur, et la version 120.0.6099.129 pour macOS et Linux. Il s’agit de la huitième vulnérabilité 0-day pour Chrome qui est corrigée cette année. L’ultime de 2023 ?