Si vous utilisez Chrome sur Mac, veuillez le mettre à jour immédiatement, car une faille de sécurité découverte par Google est activement exploitée par des attaquants.
Cette faille pourrait potentiellement permettre l’extraction de données personnelles depuis votre Mac (le même problème affecte également Chrome sous Windows et Linux). Google affirme avoir connaissance d’au moins un cas réel dans lequel l’exploit a été utilisé par un attaquant.
L’Institut national des normes et technologies (NIST) du gouvernement américain a évalué la gravité du problème de sécurité à un niveau élevé, et Google a attribué la même note à la faille.
« CVE-2023-6345 high : Débordement d’entier dans Skia. Rapporté par Benoît Sevens et Clément Lecigne du Threat Analysis Group de Google le 24/11/2023 »
Le bug a été découvert la semaine dernière, mais il s’avère maintenant qu’il a déjà été exploité. Google n’a pas encore révélé de détails sur le fonctionnement de cette faille, mais recommande à tout le monde de mettre immédiatement à jour Chrome sur Mac.
Ce que nous savons, c’est que CVE-2023-6345 est une faille de dépassement d’entier qui affecte Skia, la bibliothèque graphique 2D open source du moteur graphique Chrome. Selon les notes de mise à jour de Chrome, l’exploit a permis à au moins un attaquant de « potentiellement effectuer une évasion du bac à sable via un fichier malveillant ». Les fuites du bac à sable peuvent être utilisées pour infecter les systèmes vulnérables avec du code malveillant et voler des données utilisateur sensibles.
Essentiellement, si un attaquant peut exécuter du code arbitraire sur votre Mac, il peut faire beaucoup de choses, même avec les protections anti-malware d’Apple.
Si votre navigateur Chrome est déjà configuré pour se mettre à jour automatiquement, vous n’aurez peut-être aucune action à entreprendre. Pour tous les autres, cela vaut la peine de mettre à jour manuellement vers la dernière version 119.0.6045.199 pour Mac.