Selon MacRumors , Google a publié une mise à jour de sécurité critique pour Chrome sur macOS, Windows et Linux pour corriger une vulnérabilité zero-day qui est activement exploitée. Dans une mise à jour de Chrome, Google a déclaré qu'il était « conscient que CVE-2023-6345 existe dans la nature ».

Découverte par des chercheurs en sécurité du Threat Analysis Group (TAG) de Google la semaine dernière, la nouvelle vulnérabilité serait liée à la bibliothèque graphique 2D open source Skia dans le moteur graphique de Chrome. Google n'a pas encore fourni plus de détails sur la manière dont la vulnérabilité CVE-2023-6345 est exploitée car il ne souhaite pas alerter les mauvais acteurs.

Selon les notes de mise à jour macOS 119.0.6045.199, l'exploit permet à un ou plusieurs attaquants de « potentiellement effectuer une évasion du sandbox via un fichier malveillant », ce qui pourrait théoriquement les conduire à exécuter du code arbitraire et à voler des données.

Par défaut, le navigateur Chrome se met automatiquement à jour lorsqu'une nouvelle version est disponible. Cependant, les utilisateurs doivent également effectuer des mises à jour manuelles immédiatement pour éviter les risques causés par les exploits zero-day. Dans les paramètres de Chrome, cliquez sur l’onglet À propos de Chrome et cliquez sur Mettre à jour Google Chrome. S'il n'y a pas d'option de mise à jour, vous avez déjà effectué la mise à niveau vers la dernière version.

Cette année, Google a corrigé six vulnérabilités zero-day, dont deux qui ont également été exploitées et traitées en septembre : CVE-2023-5217 et CVE-2023-4863.