Google a publié une nouvelle mise à jour de sécurité d’urgence pour Chrome afin de corriger la cinquième vulnérabilité du jour zéro dans son navigateur jusqu’à présent cette année.
Comme le rapporte BipOrdinateur, ce nouveau zero-day (identifié comme CVE-2023-5217) est particulièrement troublant car les pirates ont déjà trouvé un moyen de l’exploiter dans leurs attaques. C’est pourquoi vous souhaiterez mettre à jour Chrome immédiatement, sinon vous risquerez d’en être vous-même victime.
Dans un récent avis de sécuritél’équipe Chrome de Google a expliqué que la dernière version de son navigateur (117.0.5938.132) pour Windows, Mac et Linux contient un total de 10 correctifs de sécurité pour corriger trois vulnérabilités de grande gravité.
Selon l’avis, cela peut prendre des jours, voire des semaines, avant que cette mise à jour de sécurité d’urgence soit déployée pour tous les utilisateurs de Chrome. Cependant, lorsque je suis allé dans le menu des paramètres de Chrome et que j’ai cliqué sur À propos de Chrome, mon navigateur a immédiatement téléchargé la mise à jour. En tant que tel, si vous ne voyez pas encore la mise à jour, vous devez continuer à la rechercher car c’est une mise à jour que vous ne voudrez pas retarder son installation.
Utilisé pour installer des logiciels espions
Parmi les trois vulnérabilités corrigées dans cette nouvelle mise à jour de sécurité d’urgence, CVE-2023-5217 est le résultat d’une faiblesse de dépassement de tampon de tas dans l’encodage VP8 dans libvpx. Il a été découvert par Clément Lecigne de Google, du groupe d’analyse des menaces de l’entreprise (ÉTIQUETER) et peut entraîner des plantages d’applications ou l’exécution de code arbitraire.
Si vous n’êtes pas familier avec TAG, ses chercheurs en sécurité ont le don de trouver des failles zero-day sérieuses utilisées dans attaques de logiciels espions contre des personnalités de premier plan comme des hommes politiques et des journalistes. Dans un poste sur X, Maddie Stone de TAG a confirmé que le zero-day corrigé dans cette dernière mise à jour de Chrome a été exploité par des pirates pour installer des logiciels espions.
Comme c’est souvent le cas avec les zero-days comme celui-ci, Google n’a pas encore partagé d’informations supplémentaires sur la manière dont il a été utilisé dans des attaques sauvages. La raison en est que cela donne à la vaste base d’installation de Chrome de 3,22 milliards d’utilisateurs (selon Statiste) délai supplémentaire pour mettre à jour leurs navigateurs.
Une fois que les détails d’une attaque sont rendus publics, d’autres pirates informatiques peuvent proposer leurs propres exploits pour une vulnérabilité. À partir de là, ils ciblent ensuite les utilisateurs qui n’ont pas encore mis à jour leur logiciel vers la dernière version. D’où l’importance de mettre à jour Google Chrome dès maintenant.
Comment se protéger des attaques exploitant les vulnérabilités de Chrome
Tout comme avec le récent failles zero-day corrigées par Applela chose la plus importante que vous puissiez faire pour rester en sécurité dans cette situation est de mettre à jour Chrome vers la dernière version dès que la mise à jour arrive dans votre navigateur.
Bien que vous puissiez rechercher manuellement les mises à jour en cliquant sur le menu à trois points, en ouvrant Paramètres, puis en accédant à À propos de Chrome, Google utilise également un système d’avertissement à code couleur pour vous informer lorsque de nouvelles mises à jour pour son navigateur sont disponibles. Ceux-ci apparaissent sous forme de bulle à côté de votre nom d’utilisateur et leur couleur change en fonction de la date de publication de la mise à jour. Une bulle verte signifie que la mise à jour date de deux jours, tandis que l’orange correspond à une mise à jour vieille de 4 jours et le rouge indique que la mise à jour a été publiée il y a au moins une semaine. Si vous avez besoin de plus d’aide, vous pouvez toujours consulter notre guide sur comment mettre à jour Google Chrome.
En plus de maintenir votre navigateur à jour, vous devez également utiliser le meilleur logiciel antivirus sur votre PC, le meilleur logiciel antivirus pour Mac sur votre ordinateur Apple et l’un des meilleures applications antivirus Android sur votre smartphone Android. En utilisant un logiciel antivirus et en installant les dernières mises à jour de sécurité, vous pouvez vous assurer que vous êtes protégé contre toutes sortes de cyberattaques.
Nous n’en saurons probablement pas plus sur la façon dont cette vulnérabilité a été exploitée pour installer des logiciels espions, mais le simple fait de savoir que cela s’est produit devrait suffire à vous convaincre que cette mise à jour n’est pas celle que vous souhaitez ignorer.