Google a déployé mardi des correctifs d’urgence pour remédier à une autre faille de type « zero-day » de haute sévérité activement exploitée dans son navigateur web Chrome.

La faille, répertoriée sous le nom de CVE-2023-2136, est La faille décrite comme un cas de débordement d’entier (integer overflow) dans Skia, une bibliothèque graphique 2D open source. Clément Lecigne, du Threat Analysis Group (TAG) de Google, a été chargé de découvrir et de signaler la faille le 12 avril 2023.

« Un débordement d’entier dans Skia dans Google Chrome avant la version 112.0.5615.137 permettait à un attaquant distant ayant compromis le processus de rendu d’effectuer potentiellement une évasion du bac à sable via une page HTML conçue », selon la base de données nationale des vulnérabilités (NVD) du NIST.

Le géant de la technologie, qui a également corrigé sept autres problèmes de sécurité avec la dernière mise à jour, a déclaré être au courant de l’exploitation active de la faille, mais n’a pas divulgué de détails supplémentaires afin d’éviter d’autres abus.

Il s’agit de la deuxième vulnérabilité zero-day de Chrome à être exploitée par des acteurs malveillants cette année, et elle survient quelques jours seulement après que Google a corrigé la CVE-2023-2033 la semaine dernière. On ne sait pas encore si les deux failles ont été enchaînées dans le cadre d’attaques sauvages.

Il est recommandé aux utilisateurs de passer à la version 112.0.5615.137/138 pour Windows, 112.0.5615.137 pour macOS et 112.0.5615.165 pour Linux afin d’atténuer les menaces potentielles. Les utilisateurs de navigateurs basés sur Chromium tels que Microsoft Edge, Brave, Opera et Vivaldi sont également invités à appliquer les correctifs dès qu’ils seront disponibles.