Google Chrome bénéficie d’une mise à jour de maintenance. Plusieurs ingénieurs Google contestent la découverte de Vupen qui affirme avoir mis au point un exploit notamment capable de passer outre la sandbox du navigateur.
Adobe a mis à jour Flash Player, et c’est donc en toute logique que Google Chrome – le navigateur aux 160 millions d’utilisateurs – a aussi bénéficié d’une mise à jour. Le plugin est pour rappel intégré par défaut dans Chrome.
Google Chrome 11.0.696.68 corrige également deux vulnérabilités critiques découvertes en interne par l’équipe de sécurité de Google. Il n’y a aura donc pas de distribution de billets verts à des tiers ce coup-ci pour ces failles qui affectent WebKit et les filtres SVG.
À noter que le billet sur le blog Google Chrome Releases annonçant cette mise à jour de maintenance était visible ce matin mais ne l’est désormais plus. Il faut probablement y voir une conséquence des problèmes rencontrés par Blogger.
Powned ou pas powned ?
Cette semaine, le Français Vupen a défrayé la chronique en annonçant l’exploitation de plusieurs failles pour passer outre la protection sandbox de Google Chrome ainsi que son utilisation des protections DEP et ASLR sous Windows ( voir notre actualité ).
Pas de divulgation publique et Vupen réserve l’exclusivité des failles utilisées à ses clients dont des gouvernements. Reste que pour le PDG de Vupen, Chaouki Bekar : » tous les utilisateurs de Chrome devraient avoir maintenant conscience que ce navigateur peut être entièrement attaqué en dépit de sa fameuse sandbox et de tout le marketing que Google a fait autour de sa sécurité » ( propos rapportés par DarkReading ).
La trouvaille de Vupen a néanmoins causé quelques remous du côté des chercheurs en sécurité affiliés à Google. Pour Tavis Ormandy, les » journalistes en sécurité n’ont pas pris la peine de vérifier les faits « , » comme toujours « . Il affirme que Vupen a » mal compris comment fonctionne la sandbox dans Chrome » et a seulement découvert un bug Flash.
Même son de cloche pour son collègue Chris Evans pour qui même si la découverte est tout à fait légitime, le problème concerne Flash et pas Chrome. » Est-ce que les problèmes Java comptent également parce que nous supportons NPAPI ? ( ndlr : API de plugins ) « . Vupen ne précise pas si le problème exploité est effectivement lié à Flash, mais Chaouki Bekar a répondu : » la différence entre Flash et Java est que Google embarque Flash avec Chrome et propose la sandbox pour Flash… désolé « .
Quoi qu’il en soit, pour Vupen, toutes les versions de Google Chrome sont encore vulnérables et la version 11.0.696.68 – qui a donc reçu une mise à jour Flash – n’y change rien.
Rappelons qu’une mise à jour de Google Chrome est automatique ou peut être sollicitée depuis le menu clé à molette ( À propos de Google Chrome ).
Source : GNT
Recherches en relation :
- faille chrome
- bekar chaouki
- chaouki bekar vupen
- quoi aslr dep sandbox rop
Classé dans : Réseau & Sécurité
(Pas encore noté)
Loading ...Mots clés : Chrome, chrome faille, chrome faille vupen, Google, Google Chrome, sandbox, vulnérabilité, Vupen
ARTICLE PRECEDENT
Le Canada, futur paradis de la cybercriminalité mondiale
ARTICLE SUIVANT
[papers] – Token Kidnapping’s Revenge
