5/5 - (2 votes)

Une mise à jour d’urgence du navigateur Google Chrome.

La mise à jour d’urgence de Google Chrome corrige le 6e jour zéro exploité en 2023. Google a corrigé la sixième vulnérabilité Zero Day de Chrome cette année dans une mise à jour de sécurité d’urgence publiée aujourd’hui pour contrer l’exploitation continue des attaques. La société a reconnu l’existence d’un exploit pour la faille de sécurité dans un nouvel avis de sécurité publié aujourd’hui.

Identifiée comme CVE-2023-6345, cette vulnérabilité de gravité critique a été décrite comme un bug de dépassement d’entier dans Skia, une bibliothèque graphique 2D open source.

Une manipulation avec une valeur d’entrée inconnue mène à une vulnérabilité de classe buffer overflow. Aucun exploit disponible pour le public. Comme d’habitude, aucune information complémentaire n’a été fournie par cette mise à jour par le canal stable de Google sécurité. Il faut mettre à jour à la version 119.0.6045.199 pour éliminer cette vulnérabilité.


Une faille de classe "buffer overflow" (débordement de tampon en français) est une vulnérabilité de sécurité informatique qui survient lorsque des données sont écrites dans une zone de mémoire tampon (ou "buffer") d'un programme informatique, et que ces données dépassent la capacité allouée à ce tampon. Lorsque cela se produit, les données excédentaires peuvent écraser d'autres parties de la mémoire ou du code du programme, ce qui peut entraîner des comportements inattendus et potentiellement des failles de sécurité exploitées par des attaquants. Voici comment cela fonctionne dans le détail :

Allocation de mémoire tampon : Les programmes informatiques utilisent souvent des mémoires tampons pour stocker temporairement des données, telles que les entrées utilisateur, les données de fichiers, etc. La mémoire tampon est généralement allouée avec une taille fixe pour éviter les débordements.
Débordement de tampon : Si un programme ne vérifie pas correctement la taille des données qu'il écrit dans une mémoire tampon, il est possible que des données trop volumineuses soient écrites dans le tampon. Cela peut provoquer un débordement de tampon, où les données excédentaires écrasent la mémoire adjacente.
Corruption de la mémoire : Lorsqu'un tampon déborde, il peut écraser d'autres variables, des données de contrôle, ou même des parties du code du programme. Cela peut entraîner un comportement imprévisible du programme, des plantages, ou, dans le pire des cas, une vulnérabilité de sécurité qui peut être exploitée par un attaquant.
Exploitation : Les attaquants peuvent exploiter les débordements de tampon pour exécuter un code malveillant sur la machine cible. Ils insèrent généralement un code spécialement conçu dans le tampon, qui est ensuite exécuté lorsque le débordement a lieu et remplace des parties du code du programme.

Pour prévenir les failles de classe "buffer overflow", il est essentiel de programmer de manière sécurisée en effectuant des vérifications appropriées sur les tailles des tampons et en utilisant des pratiques de programmation sécurisée. De plus, les langages de programmation modernes offrent des mécanismes de sécurité tels que les tampons sécurisés (buffer overflow protection) pour détecter et prévenir les débordements de tampon lors de l'exécution.

Chrome est un navigateur web propriétaire développé par Google basé sur le projet libre Chromium fonctionnant sous Windows, Mac, Linux, Android et iOS. Chromium est similaire à Chrome, mais ce dernier contient des mouchards ou pisteurs. Avec les applications Google comme Gmail, Google Pay et l'Assistant Google, Chrome vous aide à rester productif et à tirer le meilleur parti de votre navigateur. Chrome met tout en œuvre pour protéger vos données et votre vie privée en ligne. Les paramètres de confidentialité de Chrome permettent de personnaliser l'expérience de navigation en fonction de vos besoins. En février 2023, Google Chrome renforce la sécurité de la saisie des mots de passe avec l’authentification biométrique.


Dans le domaine de la sécurité informatique, une vulnérabilité Zero-Day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive. La terminologie Zero Day ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique exploitant cette faille afin de conduire des actions indésirables sur le produit concerné.
Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut