Chrome
Google a publié vendredi un correctif de sécurité critique pour Chrome, afin de neutraliser une vulnérabilité jour zéro de son navigateur Chrome.
Un site web peut tirer avantage de cette vulnérabilité du moteur JavaScript V8 de Chrome, référence CVE-2023-2033, pour exécuter tout code dans le navigateur.
Elle a été découverte par Clément Lecigne de la division Threat Analysis Group de Google, le 11 avril.
Le correctif met à jour le navigateur vers la version 112.0.5615.121. Il est disponible pour Windows, macOS, et Linux.
Linux
Ubuntu
Vendredi, des correctifs de sécurité ont été publiés par Ubuntu, contre une kyrielle de vulnérabilités (CVE-2023-23559, CVE-2023-0394, CVE-2022-3424, CVE-2022-36280, CVE-2023-23455, CVE-2023-28328, CVE-2022-47929, CVE-2023-0266, CVE-2021-3669, CVE-2023-0045, CVE-2022-41218) découvertes dans le noyau de Linux, liées à l’implémentation des processus de communication interprocessus. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité, une atteinte à l’intégrité des données, une atteinte à la confidentialité des données, une élévation de privilèges et un déni de service à distance.
AIX
IBM a publié un correctif pour une vulnérabilité du service d’environnement d’exécution, permettant à tout utilisateur local d’exécuter du code arbitraire (CVE-2023-26286).
Red Hat
Red Hat corrige un bogue de débordement de pile (CVE-2022-4378) du sous-système SYSCTRL du noyau de Linux, affectant Red Hat Enterprise Linux Server 7.6, qui permet à tout utilisateur local de planter le système et potentiellement d’accroître ses privilèges.
SUSE
SUSE corrige une trentaine de vulnérabilités dans ses systèmes Enterprise Storage, Linux Enterprise : High Availability Extensions, High Performance Computing, Live Patching, Micro, Real-Time, Server, Server for SAP Appliucations, SDK, Workstation Extensions ; Manager Proxy, Manager Retail Branch Server, Manager Server ; OpenSUSE Leap et Public Cloud Module.
Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, une atteinte à l’intégrité des données, un contournement de la politique de sécurité, une atteinte à la confidentialité des données, une élévation de privilèges et un déni de service à distance.
Se référer aux bulletins SUSE-SU-2023:1800-1, SUSE-SU-20231801-1, SUSE-SU-2023:1802-1, SUSE-SU-2023:1803-1 et SUSE-SU-2023:1811-1.