Google a confirmé que Chrome pour Windows, macOS et Linux expose une grosse faille de sécurité qui permet aux pirates de prendre le contrôle de l’ordinateur de leur cible et de l’espionner. Une mise à jour de sécurité est disponible.

Google a déployé la mise à jour de Chrome version 117.0.5938.132 pour résoudre la grave faille de sécurité mise au jour par un de ses employés. Référencé sous CVE-2023-5217, ce bug de débordement de tampon, ou heap buffer overflow, permet aux cybercriminels d’exploiter le codec vidéo VP8 pour installer des logiciels espions ou encore d’exécuter du code à distance.

À lire — La justice accuse Google d’avoir forcé la main de Samsung et Apple, le procès pour monopole s’annonce sanglant

Dans une publication sur Twitter, Maddie Stone, membre du service Threat Analysis de Google, déclare : « Clément Lecigne a découvert une autre faille zéro-day exploitée par une compagnie de surveillance : CVE-2023-5217. Merci à Chrome d’avoir publié un correctif en DEUX 🤯jours ! ». Google ne va cependant pas jusqu’à citer le nom de cette entreprise malveillante, « l’accès aux détails des bugs et aux liens pouvant être restreint jusqu’à ce que la majorité des utilisateurs bénéficient du correctif ». Une mesure indispensable pour éviter que d’autres hackers analysent la vulnérabilité et en cherchent une autre sur cette base.

Google déploie un correctif pour Chrome pour empsécurité pour un codec défectueux qui permet d'installer des logiciels espions

Devant la complexité de la mise en œuvre d’une attaque exploitant ce bug, on peut imaginer que les cybercriminels effectuent des « attaques ciblées avec des logiciels espions » et qu’ils sont « parrainés par des gouvernements et des groupes ciblant des personnes à haut risque telles que des journalistes et des politiciens de l’opposition ».

À lire — Google Chrome : désinstallez vite ces extensions, elles contiennent un malware !

La mise à jour de Chrome version 117.0.5938.132 est normalement automatique, mais vous devriez vérifier qu’elle est bien installée. Le bug CVE-2023-5217 est la cinquième vulnérabilité corrigée par Google depuis le début de l’année. Il y a deux semaines de cela, un autre codec défectueux, le WebP, exposait le navigateur Chrome mais aussi d'autres applications aux pirates.