Dans sa mise à jour la plus récente, Chrome a corrigé un total de sept bugs de sécurité. Parmi eux se trouve CVE-2023-6345, qui constitue la seule vulnérabilité zero-day. Dans la mise à jour, Google a reconnu qu ‘«un exploit pour CVE-2023-6345 existe dans la nature». Il s’agit de la septième vulnérabilité Zero Day à laquelle Chrome s’attaque depuis le début de l’année, comme le rapporte The Hacker News.

Les vulnérabilités Zero Day constituent une menace importante car ce sont des failles de sécurité que les pirates peuvent exploiter avant que les développeurs ne puissent publier un correctif. Cela laisse les organisations exposées et ayant besoin de plus de temps de préparation pour protéger leurs systèmes. La complexité requise pour leur découverte rend ces vulnérabilités rares et précieuses pour les attaquants. Les efforts de cybersécurité se concentrent sur la détection rapide et les actions collaboratives pour atténuer l’impact de ces menaces.

Google a confirmé la présence d’un exploit zero-day pour CVE-2023-6345, initialement identifié par le groupe d’analyse des menaces de Google le 24 novembre 2023. La société a fait preuve de prudence en partageant des détails sur cette faille spécifique. C’est une pratique courante parmi les entreprises technologiques, surtout si elles identifient une faille en interne, de s’abstenir de toute exposition publique. Bien que les détails concernant CVE-2023-6345 soient limités, nous savons qu’il s’agit d’une faiblesse de débordement d’entier affectant Skia. Skia est la bibliothèque graphique 2D open source du moteur graphique Chrome. La mise à jour de Google vers Chrome indique que l’exploit pourrait « potentiellement effectuer une évasion du bac à sable via un fichier malveillant ».

La vulnérabilité Zero Day de Chrome CVE-2023-6345 a un niveau de sécurité élevé

Décrivons ce que tout cela signifie. Chrome utilise SKIA, une bibliothèque graphique 2D, pour restituer des graphiques Web. C’est le logiciel derrière les composants visuels de Chrome, contribuant de manière significative à l’affichage des graphiques.

Les dépassements d’entiers se produisent lorsqu’une opération arithmétique sur des entiers dépasse la valeur maximale représentable pour le type de données, ce qui peut entraîner un comportement imprévisible et présenter des risques de sécurité. L’exploitation de ces faiblesses peut entraîner de graves conséquences, notamment des débordements de mémoire tampon, une corruption de la mémoire et d’autres problèmes de sécurité. Par conséquent, la résolution du débordement d’entiers est courante dans le développement de logiciels pour garantir la sécurité des applications.

CVE-2023-6345 a exploité un débordement d’entier dans Skia pour potentiellement violer le bac à sable. Un bac à sable est un mécanisme de protection conçu pour confiner le contenu Web dans un environnement restreint, empêchant ainsi l’accès aux ressources système sensibles. La méthode d’exploitation impliquait un fichier malveillant, indiquant qu’interagir avec ce fichier pourrait permettre à un attaquant d’exécuter du code ou des actions au-delà du bac à sable. Le fait que les utilisateurs puissent accéder à des données au-delà de la portée prévue par Chrome constitue une menace importante. CVE-2023-6345 a un niveau de sécurité élevé.

A lire également