Google Chrome bénéficie d’une mise à jour de maintenance. Plusieurs ingénieurs Google contestent la découverte de Vupen qui affirme avoir mis au point un exploit notamment capable de passer outre la sandbox du navigateur.
Adobe a mis à jour Flash Player, et c’est donc en toute logique que Google Chrome – le navigateur aux 160 millions d’utilisateurs – a aussi bénéficié d’une mise à jour. Le plugin est pour rappel intégré par défaut dans Chrome.
Google Chrome 11.0.696.68 corrige également deux vulnérabilités critiques découvertes en interne par l’équipe de sécurité de Google. Il n’y a aura donc pas de distribution de billets verts à des tiers ce coup-ci pour ces failles qui affectent WebKit et les filtres SVG.
À noter que le billet sur le blog Google Chrome Releases annonçant cette mise à jour de maintenance était visible ce matin mais ne l’est désormais plus. Il faut probablement y voir une conséquence des problèmes rencontrés par Blogger.
Powned ou pas powned ?
Cette semaine, le Français Vupen a défrayé la chronique en annonçant l’exploitation de plusieurs failles pour passer outre la protection sandbox de Google Chrome ainsi que son utilisation des protections DEP et ASLR sous Windows ( voir notre actualité ).
Pas de divulgation publique et Vupen réserve l’exclusivité des failles utilisées à ses clients dont des gouvernements. Reste que pour le PDG de Vupen, Chaouki Bekar : ” tous les utilisateurs de Chrome devraient avoir maintenant conscience que ce navigateur peut être entièrement attaqué en dépit de sa fameuse sandbox et de tout le marketing que Google a fait autour de sa sécurité ” ( propos rapportés par DarkReading ).
La trouvaille de Vupen a néanmoins causé quelques remous du côté des chercheurs en sécurité affiliés à Google. Pour Tavis Ormandy, les ” journalistes en sécurité n’ont pas pris la peine de vérifier les faits “, ” comme toujours “. Il affirme que Vupen a ” mal compris comment fonctionne la sandbox dans Chrome ” et a seulement découvert un bug Flash.
Même son de cloche pour son collègue Chris Evans pour qui même si la découverte est tout à fait légitime, le problème concerne Flash et pas Chrome. ” Est-ce que les problèmes Java comptent également parce que nous supportons NPAPI ? ( ndlr : API de plugins ) “. Vupen ne précise pas si le problème exploité est effectivement lié à Flash, mais Chaouki Bekar a répondu : ” la différence entre Flash et Java est que Google embarque Flash avec Chrome et propose la sandbox pour Flash… désolé “.
Quoi qu’il en soit, pour Vupen, toutes les versions de Google Chrome sont encore vulnérables et la version 11.0.696.68 – qui a donc reçu une mise à jour Flash – n’y change rien.
Rappelons qu’une mise à jour de Google Chrome est automatique ou peut être sollicitée depuis le menu clé à molette ( À propos de Google Chrome ).
Source : GNT