Si vous n’avez pas mis à jour Google Chrome récemment, c’est le moment de le faire car Google a publié une nouvelle mise à jour de sécurité pour résoudre un vulnérabilité zero-day qui a été activement exploité dans la nature par des pirates.
Jusqu’à présent cette année, il s’agit du troisième bogue zero-day que le géant de la recherche a corrigé dans son navigateur. Le premier était un bogue de confusion de type similaire dans le moteur JavaScript V8 (suivi comme CVE-2022-2033) tandis que le deuxième zero-day (suivi comme CVE-2023-2136) a été trouvé dans Skia, la bibliothèque graphique 2D de Chrome.
Or, selon un nouveau bulletin de sécurité de Google, la société a fourni quelques détails, mais pas beaucoup, sur un nouveau bug zero-day (suivi comme CVE-2023-3079). Il s’agit d’une vulnérabilité de haute gravité découverte par Clément Lecigne du géant de la recherche à partir de son Groupe d’analyse des menaces.
Bien que Google ne publie pas encore tous les détails pour donner aux utilisateurs de Chrome le temps de corriger leurs navigateurs, il a révélé qu’il « est conscient qu’un exploit pour CVE-2023-3079 existe dans la nature ».
Erreur de confusion de type
Nous en saurons probablement plus sur ce nouveau jour zéro de Chrome une fois que Google aura estimé qu’un nombre suffisant d’utilisateurs ont installé les dernières mises à jour de sécurité pour le corriger.
En attendant, nous savons que, comme le premier jour zéro de Chrome découvert cette année, il s’agit d’un bogue de confusion de type dans le navigateur. Moteur JavaScript V8. Ce moteur est responsable de l’exécution du code dans Chrome et en tant que BipOrdinateur le souligne, les bogues de confusion de type surviennent généralement lorsque le moteur interprète mal le type d’un objet pendant l’exécution.
Les bogues de confusion de type comme celui-ci peuvent facilement être exploités par les pirates dans leurs attaques car ils peuvent être utilisés pour manipuler la mémoire d’un système et exécuter du code arbitraire.
Bien que les vulnérabilités zero-day soient toujours quelque chose que vous voulez prendre au sérieux et corriger dès que possible, elles ont généralement tendance à être exploitées par pirates parrainés par l’État qui s’en prennent à des cibles très médiatisées comme des représentants du gouvernement et des journalistes. Pourtant, ces attaques pourraient éventuellement se répercuter sur les utilisateurs ordinaires, c’est pourquoi il est si important de maintenir votre navigateur à jour.
Comment se protéger des attaques zero-day
Lorsqu’il s’agit de se protéger des cyberattaques exploitant les vulnérabilités du jour zéro, la chose la plus importante que vous puissiez faire personnellement est de maintenir tous vos logiciels à jour. Cela signifie installer les dernières mises à jour de sécurité dès qu’elles sont disponibles au lieu de les remettre à plus tard.
Savoir s’il y a ou non une nouvelle mise à jour de Chrome, par exemple, est assez facile à faire. Lorsqu’une mise à jour est disponible, vous verrez une bulle à côté de votre photo de profil dans le navigateur de Google, avec un code couleur en fonction de sa date de publication. La bulle devient verte pour une mise à jour de 2 jours, orange pour une mise à jour de 4 jours et rouge lorsqu’une mise à jour a été publiée il y a au moins une semaine.
Tout en cliquant sur la bulle téléchargera la dernière version de Chrome et elle sera installée la prochaine fois que vous relancerez votre navigateur, vous pouvez également mettre à jour manuellement le navigateur de Google en cliquant sur les trois points à côté de votre photo de profil, en cliquant sur Aide puis sur À propos Google Chrome. Cela vous amène à la page des paramètres du navigateur où vous pouvez vérifier si vous utilisez la dernière version de Chrome.
En plus de maintenir votre navigateur à jour, vous devez également exécuter le meilleur logiciel antivirus sur votre PC Windows, le meilleur logiciel antivirus Mac sur votre ordinateur Apple et l’un des meilleures applications antivirus Android sur votre smartphone Android. De cette façon, vous pouvez vous assurer que vous êtes protégé contre les logiciels malveillants et autres virus.
Une fois qu’un nombre suffisant d’utilisateurs de Chrome auront installé la dernière mise à jour de sécurité, nous en saurons probablement plus de Google sur cette nouvelle vulnérabilité zero-day.