IT-Connect » Actualités » Actu Cybersécurité » Google Chrome : encore une faille zero-day exploitée dans des attaques (CVE-2023-5217)

Google Chrome Faille zero-day CVE-2023-5217
Actu Cybersécurité Logiciel - OS 

Google Chrome : encore une faille zero-day exploitée dans des attaques (CVE-2023-5217)

Florian BURNEL 919 Views Aucun commentaire , , 1 min read

Il y a quelques jours, Google a mis en ligne une nouvelle mise à jour de sécurité pour son navigateur Google Chrome. L'objectif : corriger la 5ème faille zero-day de l'année 2023 découverte dans son navigateur. Faisons le point sur cette menace.

Associée à la référence CVE-2023-5217, cette faille de sécurité importante hérite d'un score CVSS v3.1 de 8.8 sur 10. Signalée par Clément Lecigne de l'équipe Google Threat Analysis Group, cette faille de sécurité de type "heap buffer overflow" se situe dans une fonction d'encodage de la bibliothèque de codecs vidéo libvpx.

D'après Google, cette vulnérabilité est impliquée au sein de cyberattaque et un exploit est déjà disponible : "Google sait qu'il existe un programme d'exploitation pour CVE-2023-5217 dans la nature", peut-on lire dans le bulletin de sécurité officiel. D'ailleurs, Maddie Stone de l'équipe Google Threat Analysis Group affirme que cette vulnérabilité a été utilisée pour installer un malware sur des machines. Comme à son habitude, Google ne donne pas de détails techniques pour laisser le temps à ses utilisateurs d'installer le correctif.

Ces dernières heures, l'agence américaine CISA a ajouté la vulnérabilité CVE-2023-5217 à son catalogue des failles de sécurité connues et exploitées dans le cadre d'attaques.

Au-delà de corriger cette faille de sécurité zero-day, cette mise à jour intègre "10 correctifs de sécurité" d'après Google, notamment des patchs pour ces deux autres vulnérabilités : CVE-2023-5186 et CVE-2023-5187, toutes les deux de type "use after free" et situées respectivement dans le Gestionnaire de mots de passe et le Gestionnaire d'extensions de Chrome.

Récemment, les développeurs ont corrigé une autre faille zero-day dans Google Chrome, mais elle était liée à la bibliothèque libwebp également utilisée par d'autres projets, y compris les navigateurs Mozilla Firefox et Microsoft Edge, mais aussi Signal et 1Password.

Si vous utilisez Google Chrome, il est plus que recommandé d'installer la dernière version : 117.0.5938.132. Cette version est disponible pour Windows, macOS et Linux.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5580.Voir tous les posts

Vous pourrez aussi aimer

Devenez admin de votre PC grâce à cette nouvelle faille zero-day Windows !

Florian BURNEL 3

Siloscape : le premier malware qui cible les conteneurs Windows et Kubernetes

Florian BURNEL 0

Ubiquiti : d’après un lanceur d’alerte, la fuite de données serait catastrophique !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.