Il semble que c’était hier que nous vous avons dit de mettre à jour Google Chrome à cause d’un faille zero-day étant exploité. Mais nous promettons que ce n’était pas le cas – c’était il y a cinq jours.
Selon Ordinateur qui bipe (s’ouvre dans un nouvel onglet), Google a maintenant mis à jour une deuxième vulnérabilité zero-day. Ceci est basé sur une mise à jour de Google (s’ouvre dans un nouvel onglet) hier (18 avril) qui corrige un exploit pour CVE-2023-2136, qui est un exploit de « débordement d’entier de haute gravité ».
Les débordements d’entiers se produisent lorsqu’un programme informatique effectue un calcul qui aboutit à une réponse plus grande que l’espace disponible. Il en résulte que le programme fournit des numéros incorrects, ce qui peut entraîner un comportement erratique du programme. C’est ce que les attaquants sont capables d’exploiter – le comportement erratique.
Cette vulnérabilité particulière se produit dans Skia, qui est une bibliothèque graphique 2D open-source appartenant à Google et utilisée dans Chrome. Pratiquement, il est utilisé pour donner à Chrome la possibilité de rendre « des graphiques, du texte, des formes, des images et des animations ». C’est donc un élément clé du fonctionnement du navigateur Web.
Malheureusement, nous ne savons pas grand-chose au-delà de cela en termes de fonctionnement de l’exploit. La procédure d’exploitation standard de Google pour ces bogues consiste à les identifier et à les corriger. Ils ne divulguent généralement pas beaucoup d’informations sur le bogue s’il est activement exploité.
La bonne nouvelle est qu’il existe un moyen simple de rester en sécurité : téléchargez la dernière mise à jour. La mise à jour de canal stable pour ordinateur de bureau – 112.0.5615.137 corrige CVE-2023-2136 ainsi que sept autres correctifs et est actuellement disponible pour les utilisateurs Windows et macOS. Une mise à jour Linux devrait arriver prochainement selon Google.
Le deuxième correctif zero-day de Google en une semaine
Bien sûr, ce n’est pas la première fois que nous signalons un faille zero-day sur Chrome récemment. La semaine dernière, nous avons signalé l’exploit CVE-2023-2033, pour lequel Google a également publié une mise à jour.
Encore une fois, comme il s’agit d’un bogue activement exploité, Google n’a pas publié beaucoup de détails sur l’exploit. Tout ce que nous savons, c’est qu’il s’agit d’un exploit de confusion de type dans le moteur Javascript Chrome V8. Ces exploits peuvent conduire à un accès à la mémoire en dehors des limites normales du programme.
Bien qu’il soit certainement effrayant de voir ces exploits se succéder rapidement, la bonne nouvelle est que ce n’est que le deuxième exploit de ce type cette année. Donc, espérons-le, c’est juste une étrange coïncidence qu’ils aient été trouvés si proches plutôt qu’un signe que Chrome est plus vulnérable que d’habitude.
Comment protéger votre navigateur contre les pirates
La chose la plus importante que vous puissiez faire lorsque ces failles sont découvertes est de mettre à jour votre navigateur. La mise à jour régulière de votre navigateur ne vous protégera pas nécessairement de tout, mais cela vous protégera le plus possible.
Si vous n’avez pas encore installé la dernière mise à jour, vous devriez voir une bulle à côté de votre photo de profil dans Chrome. Cette bulle est codée par couleur en fonction du temps écoulé depuis que la mise à jour est disponible. Le vert signifie qu’il ne date que de deux jours, l’orange signifie qu’il s’agit maintenant d’une mise à jour de quatre jours et le rouge signifie que la mise à jour a au moins une semaine. Ne le laissez pas devenir rouge.
Pour télécharger la dernière version de Chrome, il vous suffit de cliquer sur la bulle. Si vous faites cela, Chrome installera la mise à jour la prochaine fois que vous relancerez votre navigateur.
Vous pouvez également mettre à jour manuellement Chrome. Pour ce faire, cliquez simplement sur les trois points à côté de votre photo de profil, puis sur Aide, puis sur À propos de Google Chrome. Cela vous amène à la page des paramètres de Chrome où vous pouvez vérifier si vous utilisez la dernière version de Chrome.
Maintenir votre navigateur à jour est essentiel pour protéger votre ordinateur contre les logiciels malveillants et autres virus. Mais vous souhaitez également installer le meilleur logiciel antivirus sur votre PC ou le meilleur Logiciel antivirus Mac sur votre ordinateur Apple pour vous assurer que toutes vos bases sont couvertes.