Si vous utilisez Chrome sur Mac, il est fortement recommandé de le mettre à jour immédiatement, car une faille de sécurité découverte par Google est activement exploitée par des attaquants. Elle pourrait potentiellement permettre l’extraction de données personnelles de votre Mac (le même problème affecte également Chrome sur Windows et Linux).
Google affirme avoir connaissance d’au moins un cas réel d’exploitation de cet exploit par un acteur malveillant…
L’Institut national des normes et de la technologie (NIST) du gouvernement américain a évalué la gravité de la question de la sécurité comme étant élevée.
Google a donné la faille la même note.
CVE-2023-6345 élevé : dépassement d’entier dans Skia. Signalé par Benoît Sevens et Clément Lecigne du groupe d’analyse des menaces de Google le 24/11/2023
Le bug a été découvert la semaine dernière, mais il est désormais utilisé activement.
Google ne révèle pas encore de détails sur le fonctionnement de cette fonctionnalité. Il s’agit d’une pratique courante : l’entreprise veut s’assurer que la majorité des utilisateurs ont effectué la mise à jour avant de révéler des détails qui pourraient aider un attaquant à l’exploiter.
Le bord note le peu que nous savons à ce stade.
Ce que nous faire Ce que l’on sait, c’est que CVE-2023-6345 est une faille de dépassement d’entier qui affecte Skia, la bibliothèque graphique 2D open source du moteur graphique Chrome. Selon les notes sur la mise à jour de Chrome, l’exploit a permis à au moins un attaquant de « potentiellement effectuer une évasion sandbox via un fichier malveillant ». Les évasions sandbox peuvent être utilisées pour infecter les systèmes vulnérables avec du code malveillant et voler des données utilisateur sensibles.
Mais fondamentalement, si un attaquant peut exécuter du code arbitraire sur votre Mac, il peut faire beaucoup de choses, même avec les protections contre les logiciels malveillants d’Apple.
Google indique que le déploiement de la mise à jour se déroule au fil du temps, mais lorsque j’ai vérifié, ma version de Chrome, configurée pour se mettre à jour automatiquement, l’avait déjà reçue.
Si vous avez déjà configuré votre navigateur Chrome pour qu’il se mette à jour automatiquement, vous n’aurez peut-être pas besoin de prendre de mesures. Pour les autres, il est préférable d’effectuer manuellement la mise à jour vers la dernière version (119.0.6045.199 pour Mac et Linux et 119.0.6045.199/.200 pour Windows) dans les paramètres de Google Chrome pour éviter que votre système ne soit exposé. Google indique que le correctif sera déployé « dans les prochains jours/semaines », il se peut donc qu’il ne soit pas immédiatement disponible pour tout le monde au moment de la rédaction de cet article.