Google a publié une mise à jour de sécurité hors bande pour corriger une vulnérabilité critique dans son navigateur Web Chrome. La faille, connue sous le nom de CVE-2023-4863, implique un débordement de tampon tas qui affecte le format d'image WebP. Cette vulnérabilité pourrait potentiellement conduire à l’exécution de code arbitraire ou à des plantages.

La découverte de la vulnérabilité a été attribuée à Apple Security Engineering and Architecture (SEAR) et au Citizen Lab de la Munk School de l'Université de Toronto. Les détails spécifiques de l'exploit n'ont pas été divulgués, mais Google a reconnu qu'un exploit pour CVE-2023-4863 avait été observé dans la nature.

Ce dernier correctif fait partie des efforts continus de Google pour remédier aux vulnérabilités Zero Day de Chrome. Depuis le début de l’année, l’entreprise a déjà corrigé quatre de ces vulnérabilités.

En plus du correctif de Google, Apple a également étendu ses correctifs pour corriger CVE-2023-41064, une autre vulnérabilité liée au traitement des images. Cette vulnérabilité est un problème de dépassement de tampon dans le composant Image I/O, qui pourrait conduire à l'exécution de code arbitraire. Il a été utilisé conjointement avec CVE-2023-41061 dans une chaîne d'exploitation iMessage sans clic nommée BLASTPASS pour déployer le logiciel espion Pegasus sur des iPhones entièrement corrigés exécutant iOS 16.6.

Les similitudes entre CVE-2023-41064 et CVE-2023-4863, toutes deux liées au traitement d'images et signalées par Apple et The Citizen Lab, suggèrent un lien potentiel entre les deux vulnérabilités.

Pour se protéger contre les menaces potentielles, il est conseillé aux utilisateurs de mettre à jour leur navigateur Chrome vers la version 116.0.5845.187/.188 pour Windows et 116.0.5845.187 pour macOS et Linux. Les utilisateurs de navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi, doivent également appliquer les correctifs dès qu'ils sont disponibles.

