Le mois d’avril aura été marqué par la découverte de plusieurs vulnérabilités de type « zero-day » et exploités activement impactant les produits des deux géants Microsoft et Google.
Côté Google, le navigateur Chrome aura découvert ses premières vulnérabilités « zero day » de l’année 2023. Dans un communiqué daté du 18 Avril, l’éditeur fait part de la dernière mise à jour du navigateur qui corrigerait 8 vulnérabilités, principalement découvertes par des chercheurs extérieurs à l’entreprise.
L’une de ces vulnérabilités associées à la CVE CVE-2023-2136 ferait notamment l’objet d’une campagne d’exploitation active.
Si vous utilisez donc le navigateur de Google, il est impératif de déployer la dernière release « stable » (112.0.5615.137). A noter que cette dernière mise à jour n’est pas encore disponible pour les systèmes Linux actuellement et devrait l’être dans les prochains jours.
Le mois d’avril 2023 n’aura également par épargné Microsoft. Après un « patch Tuesday » de très bon cru corrigeant par moins de 7 vulnérabilités critiques de type « remote code exécution » et une vulnérabilité « zero-day ». L’éditeur a en effet alerté concernant l’exploitation active de la vulnérabilité CVE-2023-28252 affectant le composant Windows Common Log File System (CLFS). Cette vulnérabilité serait activement exploitée par un groupe de cybercriminel pour déployer le ransomware Nokoyawa.
Si ce n’est pas déjà fait, pensez donc à déployer les dernières versions associés à ces produits.