Google a corrigé une nouvelle faille de sécurité zero-day dans son navigateur Google Chrome ! Puisqu'elle serait exploitée par les cybercriminels, il est recommandé d'effectuer la mise à jour vers la nouvelle version dès maintenant !

Il y a quelques jours, Google a mis en ligne Google Chrome 112.0.5615.121 dans le but de corriger plusieurs failles de sécurité dont la faille zero-day CVE-2023-2033, exploitée dans le cadre d'attaques. Sauf que cette version est déjà obsolète puisque l'entreprise américaine a mis en ligne une nouvelle version de Chrome pour corriger une autre faille zero-day : Google Chrome  112.0.5615.137. C'est donc cette version que vous devez utiliser pour être protégé.

La faille de sécurité zero-day faisant l'objet de cette alerte est associée à la référence CVE-2023-2136. Il s'agit d'une vulnérabilité de type "integer overflow" dans la bibliothèque graphique 2D Skia. Il s'agit d'une bibliothèque open source maintenue par Google et écrite en C++ qui joue un rôle clé dans la gestion de l'affichage du navigateur Google Chrome.

Une fois encore, c'est Clément Lecigne de l'équipe Google Threat Analysis qui a découvert cette faille de sécurité ! En exploitant cette vulnérabilité, un attaquant pourrait corrompre la mémoire de la machine et effectuer une exécution de code arbitraire sur le système de la machine ciblée. Comme à son habitude, la firme de Mountain View n'a pas donné de précisions sur les incidents de sécurité observés ou sur l'exploitation technique de cette faille de sécurité.

Google Chrome 112.0.5615.137 est disponible pour tous les utilisateurs sous Windows et macOS, tandis que pour Linux elle devrait être disponible prochainement d'après Google. Au total, cette nouvelle version corrige 8 failles de sécurité dans Chrome !

Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.

À vos mises à jour !

Source

The post Google Chrome – CVE-2023-2136 : une seconde faille zero-day corrigée dans le navigateur ! first appeared on IT-Connect.

Google a mis en ligne une nouvelle version de son navigateur Google Chrome dans le but de corriger une faille de sécurité zero-day : CVE-2023-2033. La première de l'année 2023 !

Dans le bulletin de sécurité mis en ligne par l'entreprise américaine, on peut lire que cette nouvelle version corrige deux failles de sécurité, dont la vulnérabilité CVE-2023-2033 découverte par Clément Lecigne de l'équipe Google Threat Analysis. Le travail de cette équipe de chez Google est très important, car il permet régulièrement de découvrir de nouvelles failles de sécurité dans Chrome.

Associée à une sévérité élevée, cette vulnérabilité zero-day se situe dans le moteur JavaScript V8 de Chrome. Elle est exploitée dans le cadre d'attaques et d'ailleurs il existe un exploit : "Google sait qu'il existe un programme d'exploitation pour la CVE-2023-2033 dans la nature."

Toutefois, Google n'a pas donné de précisions sur les incidents de sécurité observés et associés à cette vulnérabilité, ni même sur le fonctionnement de cet exploit en lui-même.

Ce qui est logique compte tenu de la politique appliquée par l'entreprise de Mountain View : "L'accès aux détails des bugs et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs aient reçu un correctif." - D'autres informations devraient fuiter par la suite.

Il s'agit de la première faille zero-day corrigée dans Chrome en 2023. L'année dernière, Google avait corrigé près de 10 failles de ce type dans ce navigateur.

Google Chrome 112.0.5615.121

Utilisateurs de Google Chrome, que ce soit sur Windows, macOS ou Linux, vous devez mettre à jour le navigateur sur votre machine dès que possible. La version 112.0.5615.121 de Google Chrome intègre le correctif.

Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.

Bon début de semaine !

Source

The post CVE-2023-2033 : la première faille zero-day de 2023 corrigée dans Google Chrome first appeared on IT-Connect.

Localiser un smartphone perdu ou volé même s'il est éteint ou s'il n'a plus de batterie, c'est une fonctionnalité très intéressante qui pourrait débarquer à l'occasion de la sortie d'Android 14. Faisons le point.

D'après les dernières informations qui circulent sur Twitter, cette fonctionnalité surnommée « Pixel Power-off Finder » s'appuierait sur la technologie Ultra Wide Band pour aller plus loin dans la détection d'un appareil perdu ou volé puisqu'elle fonctionne même si l'appareil est éteint ou qu'il n'a plus de batterie.

Pour cela, il faut que l'appareil en lui-même soit doté d'un matériel spécifique, en l'occurrence une puce Bluetooth capable de fonctionner même lorsque l'appareil n'a plus de batterie. Cela s'applique aux smartphones, mais aussi à tout objet connecté qui serait doté d'une puce compatible.

Google pourrait officialiser la sortie de la fonctionnalité « Pixel Power-off Finder » au moment de la sortie d'Android 14. Reste à savoir quels seront les appareils compatibles avec cette nouveauté, et s'il faut réellement une puce Bluetooth spécifique, ce n'est pas gagné pour les modèles de smartphones actuels ! Que ce soit pour les appareils de chez Google ou ceux des autres fabricants. En effet, même pour les Pixel 6 et Pixel 7, ce n'est pas certain de pouvoir bénéficier de cette fonction. Google devrait communiquer à ce sujet dans les semaines ou mois à venir puisqu'Android 14 est prévu pour août ou septembre 2023.

Au final, cette fonctionnalité n'est pas sans rappeler la fonction "Localiser" de chez Apple disponible depuis la sortie d'iOS 15, même si la technologie employée semble différente.

Enfin, et cela reste une rumeur, Google travaille sur la mise au point d'un réseau permettant de faciliter la communication entre tous les appareils Android, sans tenir compte du constructeur, avec pour objectif de sortir un équivalent au tracker AirTag de chez Apple (identifiée sous le nom de Grogu).

Voilà des nouvelles qui devraient faire plaisir aux utilisateurs d'Android !

Source

The post Retrouver un smartphone même lorsqu’il est éteint, la nouvelle promesse d’Android 14 first appeared on IT-Connect.

Sur Android, les utilisateurs vont avoir plus de contrôle sur leurs données puisque les développeurs vont devoir proposer un lien pour permettre à l'utilisateur de supprimer son compte dans une application, ainsi que ses données.

Cette nouvelle politique du Google Play Store va entrer en vigueur au début de l'année 2024 dans le but de permettre aux utilisateurs de demander la suppression de leurs données au développeur d'une application. Un lien devra être facilement accessible à partir de la section "Suppression des données" de chaque application.

Dans son article, Google insiste bien auprès des développeurs sur le fait que la suppression d'un compte doit impliquer la suppression des données associées à ce compte : "Comme le stipule la nouvelle politique, lorsque vous répondez à une demande de suppression d'un compte, vous devez également supprimer les données associées à ce compte".

Même si ce n'est pas obligatoire, un développeur pourrait permettre aux utilisateurs de supprimer leurs données (historique, images, vidéos) sans pour autant supprimer le compte intégralement. Par ailleurs, pour certaines applications spécifiques où la conservation de données est réglementaire, il faudra avertir l'utilisateur : "Pour les développeurs qui doivent conserver certaines données pour des raisons légitimes telles que la sécurité, la prévention de la fraude ou la conformité réglementaire, vous devez clairement divulguer ces pratiques de conservation des données."

Désormais, les développeurs d'applications doivent se mettre en conformité avant l'entrée en vigueur de cette politique, tout en sachant que d'ici le 7 décembre 2023, il est obligatoire pour chaque développeur de partager ses pratiques en matière de suppression des données. Sinon, il y aura des conséquences : "Ceux qui n'auront pas déposé à temps les informations requises sur les pratiques de suppression ne pourront plus publier de nouvelles applications ou de mises à jour d'applications."

Tout en sachant que si un développeur propose déjà une option dans l'application pour supprimer son compte, cela ne sera pas suffisant ! Il devra aussi proposer un lien direct pour que l'utilisateur soit en mesure de demander la suppression de son compte et ses données sans devoir réinstaller l'application.

Source

The post Les applications Android vont devoir faciliter la suppression de comptes et de données first appeared on IT-Connect.