La vulnérabilité est dite "zero day", c'est-à-dire non connue publiquement, ou ne disposant pas d’un correctif pour la colmater. Critique, donc, d'autant qu'elle a été exploitée par des pirates.
Identifiée par le code CVE-2023-4863, cette brèche peut entraîner un plantage du navigateur, ou bien l’exécution à distance d’un code malveillant. Elle est liée à la bibliothèque d'images WebP (un format beaucoup plus léger que JPEG ou PNG), utilisées en énorme quantité par les navigateurs pour que l'affichage soit plus rapide. Google, par exemple, a poussé pour le développement de ce format pour simplifier la navigation sur YouTube.
Cela étant dit, l'incident est presque clos, puisque les navigateurs ont mis à jour leurs systèmes. Côté utilisateur, il faut simplement s'assurer que la mise à jour s'est bien faite — ce n'est pas toujours automatique. Pour ce faire, direction les paramètres du navigateur, en quête du numéro de version. Comme le rapporte Numerama, pour être tranquille, vous devez utiliser la version 116.0.5845.187/.188 de Chrome sur Windows ou la version 116.0.5845.187 de Chrome sur Mac et Linux. Du côté de Firefox, votre version doit être à 117.0.1. Pour les autres, mieux vaut effectuer une recherche de mise à jour pour s'assurer d'avoir la dernière version.
Le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), chargée de la cybersécurité en France, a publié cette semaine des notices d’avertissement pour Chrome, Edge et Firefox. Les détails de la brèche sont maintenus secrets pour le moment, le temps qu'une majorité d'internautes ait procédé à la mise à jour. En parler trop tôt permettrait à d'autres personnes d'exploiter les failles.
Partager cet article
Puisque vous êtes là…
|
Abonnez-vous à notre newsletter
Rester libre !
N'oubliez pas de partager.
Commenter cet article