L’agence américaine de cybersécurité et de sécurité des infrastructures a ajouté la dernière vulnérabilité zero day activement exploitée affectant Google Chrome à son catalogue de vulnérabilités connues et exploitées (Known Exploited Vulnerabilities Catalog).
En ajoutant cette vulnérabilité au catalogue KEV, CISA a effectivement indiqué que les exploits de cette vulnérabilité posent un « risque important pour l’entreprise fédérale », et les agences de la branche exécutive civile fédérale ont reçu un délai de trois semaines, jusqu’au 23 octobre, pour appliquer les correctifs recommandés.
Google n’a pas donné beaucoup de détails sur la vulnérabilité ou la chaîne d’exploitation, précisant que la restriction de l’accès aux informations sera maintenue jusqu’à ce que la majorité de ses utilisateurs aient mis à jour la version sécurisée de Chrome.
De tels exploits peuvent souvent entraîner des pannes ou l’exécution d’un code arbitraire sur la machine de la victime, et la prévalence de Google Chrome dans le monde entier souligne le sérieux avec lequel les vulnérabilités de ce type doivent être prises en compte, en particulier dans le contexte des technologies de l’information au niveau gouvernemental. « Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et posent des risques importants pour l’entreprise fédérale », indique la CISA dans son alerte.
« La CISA continuera d’ajouter au catalogue les vulnérabilités qui répondent aux critères spécifiés », ajoute-t-elle.
Google s’est employé à corriger des zero days dans Chrome tout au long du mois de septembre, y compris une vulnérabilité d’apparence similaire au début du mois, répertoriée sous le nom de CVE-2023-4863.
