Support technique
Documentation
Connexion
Nous contacter
Google corrige un bogue RCE
Le 8 mars 2023 - L'équipe de relations publiques de TuxCare
Google a découvert une vulnérabilité critique d'exécution de code à distance (RCE) dans Chrome qui pourrait permettre à des attaquants de prendre le contrôle des systèmes concernés.
Les utilisateurs qui craignent que des cyberattaquants n'installent des logiciels malveillants sur leurs systèmes seront soulagés par cette mise à jour, qui corrige un bogue d'exécution de code à distance (RCE). Ce dernier, découvert récemment, pourrait permettre aux pirates d'accéder aux appareils des utilisateurs en les incitant à cliquer sur des sites web malveillants. Six autres bogues de haute gravité sont également corrigés dans la mise à jour de sécurité, dont l'un est vulnérable depuis près d'un an.
Google a publié une mise à jour de sécurité pour remédier à cette vulnérabilité, et les utilisateurs sont invités à mettre à jour leur navigateur Chrome dès que possible. La vulnérabilité est jugée critique car les attaquants peuvent l'exploiter à distance sans nécessiter d'interaction de la part de l'utilisateur.
Le correctif étant compatible avec Windows, macOS et Linux, la grande majorité des 2,65 milliards d'utilisateurs de Chrome peuvent dormir sur leurs deux oreilles. Google, en revanche, conseille aux utilisateurs d'installer la mise à jour dès que possible afin de se protéger contre d'éventuels exploits ciblant ces vulnérabilités.
Les mises à jour seront poussées vers les ordinateurs de bureau Windows, macOS et Linux, qui représentent près de 2,65 milliards d'utilisateurs de Chrome. Les "mises à jour de bureau du canal stable" comprennent les versions Mac et Linux 110.0.5481.177 et les versions Windows 110.0.5481.177/.178. Selon Daniel Yip, responsable du programme technique chez Google, les mises à jour seront publiées dans les jours et semaines à venir.
Google a publié un correctif pour remédier à cette vulnérabilité, et les utilisateurs sont invités à mettre à jour leur navigateur Chrome dès que possible pour éviter d'être pris pour cible. Le correctif a été inclus dans la mise à jour du canal stable de Chrome 88.0.4324.150, en même temps que plusieurs autres correctifs de sécurité.
Ces correctifs incluent les failles SwiftShader (CVE-2023-0928) et CVE-2023-0929, datant de 11 mois, qui affectent le composant d'accélération vidéo Vulkan de Google Chrome, deux débordements de mémoire tampon vidéo (CVE-2023-0930 et CVE-2023-0931) et une faille WebRTC (CVE-2023-0932). La mise à jour comprend également dix correctifs de sécurité et Google a publiquement payé les chercheurs de bug bounty pour un total de 78 000 dollars. Le plus gros paiement de 31 000 dollars est allé au chercheur Rong Jian, de VRI, pour un bug dans Google Chrome Web Payment APIs (CVE-2023-0927).
Les sources de cet article comprennent un article de SCMagazine.
