Google Chrome : encore une faille critique à corriger d'urgence !

Pour la deuxième fois cette semaine, Google publie en urgence une nouvelle version de son navigateur Web Chrome afin de combler une faille de sécurité critique. Une mise à jour à installer sans attendre pour éviter tout risque !

Chrome serait-il devenu une passoire ? Même s'il fait l'objet d'évolutions et d'améliorations constantes, le célèbre navigateur Web de Google n'échappe pas aux problèmes de tous les logiciels, et notamment aux fameuses failles de sécurité, ces "petits défauts" qui échappent à la vigilance des développeurs, et qui sont découvertes après coup par des experts plus attentifs. C'est le cas en cette mi-avril 2023 où Google vient de publier coup sur coup deux mises à jour pour combler deux brèches de sécurité qualifiées de critiques – de type zero day. Des mises à jour à installer sans attendre – la seconde suffit, évidemment… –, car, aux dires mêmes de Google, ces vulnérabilités seraient déjà exploitées par des hackers.

Comme la première, la nouvelle faille a été découverte par Clément Lecigne, un ingénieur en sécurité de Google. Estampillée CVE-2023-2136, elle concerne le module Skia, une bibliothèque graphique essentielle, utilisée pour les rendus de textes, d'images et d'animations. Son exploitation peut entraîner un comportement inattendu de Chrome, mais surtout compromettre sa sécurité, des pirates pouvant en effet s'en servir pour exécuter du code avec un accès non autorisé au système. Référencée CVE-2023-2033, la première faille découverte par Clément Lecigne touchait le moteur JavaScript V8, qui pourrait interpréter certains scripts de manière erronée, pouvant elle aussi entraîner des comportements inattendus mais aussi, et surtout, exécuter du code arbitraire sur la machine compromise.

Comme Google l'explique sur son billet de blog, ces brèches concernent les versions desktop (pour ordinateur) de Chrome (Windows, macOS et Linux). Elles ont fort heureusement corrigées : la première dans la version 112.0.5615.121 du navigateur, la seconde dans la version 112.0.5615.137 publiée mercredi 19 avril. Bien évidemment, il suffit d'installer la plus récente pour régler les deux problèmes. Bien que le téléchargement et l'installation des mises à jour dans Chrome s'effectuent automatiquement, il est recommandé de les forcer immédiatement (voir plus bas) pour éviter tout risque.

Si ces failles 0-day sont les premières de l'année 2023, ce ne sont pas les seules de l'histoire de Chrome. En 2022, Google a du publier des mises à jour correctives à un rythme soutenu pour corriger les multiples problèmes de sécurité qui se sont succédé dans le navigateur. Ainsi, e juillet 2022, Google publie en urgence une mise à jour en urgence pour combler la quatrième faille de l'année découverte Chrome vedette. EComme il l'expliquait dans son billet de blog officiel, l'éditeur avait identifié une faille critique de type zero-day (estampillée CVE-2022-2294) qui était elle aussi déjà activement exploitée par des hackers. L'entreprise donnait là encore peu de détails sur cette nouvelle vulnérabilité, mais selon Bleeping Computer, l'exploitation de cette faille permettait de faire planter le navigateur, d'exécuter du code arbitraire ou encore de contourner des systèmes de sécurité pour accéder à des données personnelles. 

Comment mettre Google Chrome à jour ?

La mise à jour de Chrome est très simple, sur ordinateur comme sur mobile.

► Si vous utilisez la version mobile de Chrome, connectez-vous à Internet (en 4G/5G ou en Wi-Fi), ouvrez le Play Store (sur Android) ou l'App Store (sur iOS), cherchez Chrome dans le moteur de recherche ou parmi les applications déjà installées sur votre appareil, puis appuyez sur le bouton Mettre à jour.

► Si vous utilisez la version pour ordinateur, ouvrez Chrome, cliquez sur les trois petits points verticaux, dans le bandeau en haut à droite. Dans le menu qui s'affiche, passez la souris sur Aide, en bas, afin de déployer un sous-menu, puis cliquez sur À propos de Chrome. 

► Un nouvel onglet s'ouvre dans la fenêtre active. Chrome cherche alors automatiquement une mise à jour. S'il trouve une nouvelle version, il l'indique clairement dans un message et la télécharge aussitôt. Cliquez sur le bouton Relancer pour fermer le navigateur, appliquer la mise à jour et relancer Chrome.