Google a publié une mise à jour de sécurité urgente pour corriger un certain nombre de vulnérabilités dans le navigateur Chrome, y compris une vulnérabilité zero-day qui est activement exploitée dans la nature.
CVE-2023-6345, rapporté par Benoît Sevens et Clément Lecigne du Threat Analysis Group de Google, est dû à un débordement d’entier dans Skia – une bibliothèque graphique 2D open source couramment utilisée comme moteur graphique pour Google Chrome, ChromeOS, Android, Flutter, et d’autres.
L’entreprise indique que la vulnérabilité est exploitée par des pirates, mais ne donnera pas plus de détails tant que la plupart des utilisateurs n’auront pas appliqué la mise à jour.
La société a corrigé les vulnérabilités dans le canal Stable et les utilisateurs sont invités à mettre à jour les versions 119.0.6045.199 pour Mac et Linux et 119.0.6045.199/.200 pour Windows, qui seront déployées dans les jours/semaines à venir.
Google a récemment dû corriger plusieurs zero day dans son navigateur Chrome qui ont été activement exploités dans la nature.
Fin septembre, Google a corrigé une autre vulnérabilité de débordement de tampon de tas, cette fois dans l’encodage vp8 dans libvpx – une bibliothèque de codecs vidéo de Google et d’AOMedia.
