Il s’agit de la sixième vulnérabilité zero day découverte cette année dans Chrome. Google vient de publier un important correctif pour patcher cette faille mais aussi six autres considérées comme hautement importantes. Répertoriée sous le nom de CVE-2023-6345, cette vulnérabilité de type « integer overflow » se situe dans Skia, une bibliothèque graphique 2D open source qui permet le rendu des pages web dans Google Chrome.

Ce sont les chercheurs Benoît Sevens et Clément Lecigne du Threat Analysis Group de Google qui l’ont signalée le 24 novembre dernier. Dans le détail, un défaut de gestion de la mémoire dans le composant « Skia » du navigateur offre à un attaquant non authentifié, en persuadant une victime de consulter un site Web spécifiquement élaboré, d’exécuter du code arbitraire ou de provoquer un déni de service, indique le CERT Santé sur sa page web dédiée.

Six autres failles importantes

Six autres failles sont également corrigées dans ce patch. Toutes sont classées « élevé » d’un point de vue risque et certaines ont été signalées dans le cadre du programme Chrome Vulnerability Reward Program. On trouve ainsi la CVE-2023-6348, une confusion de type dans la vérification orthographique, signalée par Mark Brand de Google Project Zero le 10 octobre dernier. La brèche CVE-2023-6347 intervient dans Mojo et a été rapportée par Leecraso et Guang Gong du 360 Vulnerability Research Institute le 21 octobre et a donné lieu à une prime de 31 000 dollars. Une autre encore, nommée CVE-2023-6346 se glisse dans WebAudio. Elle a été rapportée par Huang Xilin du laboratoire de sécurité Ant Group Light-Year le 09 novembre avec une récompense à la clé de 10 000 dollars.

Enfin, deux vulnérabilités ont donné lieu à une récompense de 7 000 dollars. Il s’agit de la CVE-2023-6350 portant sur l’accès mémoire hors limites dans libavif, rapportée par l'Université de Fudan et de la CVE-2023-6351 touchant aussi libavif. Bien évidemment, Google enjoint les utilisateurs à appliquer ce correctif immédiatement et à s’assurer qu’ils utilisent bien la dernière version de Chrome, que ce soit sur Windows, Mac ou Linux, car la vulnérabilité affecte toutes les versions. Les utilisateurs dont la version de Chrome n'est pas configurée pour permettre les mises à jour automatiques doivent mettre à jour manuellement leur installation.