Vous devriez mettre à jour Chrome dès maintenant (encore une fois)
Attention aux utilisateurs des navigateurs Chrome et Chromium : Votre activité sur internet est vulnérable aux cyberattaques, à moins que vous ne mettiez à jour la dernière version de votre navigateur.
Mardi, Google a annoncé sur le blog Chrome Releases qu'une nouvelle version de Chrome, 119.0.6045.199 pour Mac et Linux et 119.0.6045.199/.200 pour Windows, était disponible et qu'elle corrigeait sept failles de sécurité différentes. Tous les problèmes découverts sont classés comme étant de gravité "élevée", mais Google ne cite que six d'entre eux :
- Élevée CVE-2023-6348 : Confusion de type dans Spellcheck. Signalé par Mark Brand de Google Project Zero le 2023-10-10
- High CVE-2023-6347 : Use after free dans Mojo. Signalé par Leecraso et Guang Gong du 360 Vulnerability Research Institute le 2023-10-21
- Élevé CVE-2023-6346 : Utilisation après libération dans WebAudio. Signalé par Huang Xilin de Ant Group Light-Year Security Lab le 2023-11-09
- Elevée CVE-2023-6350 : Accès mémoire hors limites dans libavif. Signalé par Fudan University le 2023-11-13
- Haute CVE-2023-6351 : Use after free dans libavif. Signalé par Fudan University le 2023-11-13
- Haut CVE-2023-6345 : Débordement d'entier dans Skia. Signalé par Benoît Sevens et Clément Lecigne du Threat Analysis Group de Google le 2023-11-24
Bien que toutes les vulnérabilités soient importantes à corriger, c'est la dernière, CVE-2023-6345, qui est la plus préoccupante. Google a confirmé être au courant de l'existence d'un exploit pour cette vulnérabilité dans la nature, ce qui signifie que des acteurs malveillants savent comment l'utiliser contre les utilisateurs, ou qu'ils l'ont déjà fait.
Nous ne savons pas grand-chose sur ce problème, si ce n'est qu'il s'agit d'un débordement d'entier dans Skia. Skia est un moteur graphique 2D open source, et un débordement d'entier se produit lorsque le résultat d'une opération ne correspond pas à la quantité de mémoire mise de côté par le système. Bien que toutes les failles de débordement d'entier ne conduisent pas à des vulnérabilités, celle-ci le fait, ce qui signifie que des acteurs malveillants peuvent être en mesure de l'utiliser pour prendre le contrôle du système.
Cette mise à jour fait suite à celle du 14 novembre qui a corrigé quatre failles de sécurité, ainsi qu'à celle du 7 novembre qui en a corrigé une. La dernière mise à jour qui a corrigé une faille de sécurité de type "zero-day" a été publiée le 11 septembre.
Comment mettre à jour votre navigateur
Comme cette faille affecte le code sous-jacent utilisé dans Chrome, tous les navigateurs basés sur Chromium devraient être mis à jour pour corriger ce problème. Il s'agit de Chrome, bien sûr, mais aussi de navigateurs tels que Edge, Opera et Brave.
Votre navigateur est peut-être configuré pour se mettre à jour automatiquement, mais vous pouvez déclencher une mise à jour manuellement si la mise à jour n'a pas encore été installée. En général, cela se fait dans les paramètres du navigateur. Dans Chrome, par exemple, vous pouvez cliquer sur les trois points dans le coin supérieur droit de la fenêtre, aller dans Aide > À propos de Google Chrome, puis autoriser le navigateur à rechercher une mise à jour. Si une mise à jour est disponible, suivez les instructions qui s'affichent à l'écran pour l'installer.
Source: aussiedlerbote.de
){kind=link}