Pour gérer vos consentements :
Categories: Cloud

Navigateur : Vupen a trouvé une faille « Zero-Day » sur Chrome

« Nous avons le (dé)plaisir d’annoncer que nous avons officiellement compromis Google Chrome et son bac à sable« , annonce Vupen.

La société française spécialisée dans la recherche sur la sécurité IT assure qu’elle a découvert une faille de type « Zero-Day » dans Chrome qui possède « l’un des bacs à sable le plus sécurisé« .

C’est rare mais ça arrive. Bien que réputé pour son niveau de sécurité élevé, Chrome constituerait aujourd’hui un vecteur d’attaques critiques, selon Silicon.fr.

Vupen a ainsi découvert comment contourner les protections du navigateur afin d’exécuter du code arbitraire quelle que soit la version du butineur de Google.

Comme on peut le voir sur la vidéo suivante publiée par Vupen, une fois amené sur une page Web spécialement développée pour exploiter la faille critique, Chrome télécharge et installe une calculatrice sur le système.

Un utilitaire sans danger pour l’effet de la démonstration mais qui sera évidemment remplacée par des applications beaucoup moins anodine en cas d’attaque réelle. Et aucune barrière n’est prévue sur Chrome pour empêcher l’opération.

La démonstration a été faite à partir de Chrome 11 (v11.0.696.65) sous Windows 7 SP1 (64 bits). Vupen assure que la faille est également exploitable sur la version 32 bits de l’OS de Microsoft.

Néanmoins, Vupen ne publie pas les détails de la faille, tant pour des raisons de sécurité que pour en tirer un avantage commercial vis-à-vis de leurs clients dans le cadre de ses prestations de sécurité.

Vupen annonce également avoir contourné les barrières de sécurité ASLR (address space layout randomization) et DEP (data execution prevention) de Windows 7.

Vupen s’est notamment distingué en révélant, en 2010, une vulnérabilité propre au traitement du format PDF dans Apple iOS.

En mars 2011, le prestataire a également gagné un prix de 15 000 dollars au concours Pwn2Own pour avoir exploité une vulnérabilité non corrigée de Safari, le navigateur d’Apple.

Google n’a pas confirmé la trouvaille de Vupen.

Néanmoins, la firme Internet de Moutain View vient d’introduire la version 12 du navigateur en mode bêta.

Parmi les nouveautés de Chrome, on y note « une nouvelle protection de navigation contre le téléchargement de fichiers malveillants« .

Google aurait-il anticipé la faille découverte par Vupen?

Parmi les autres nouveautés, Chrome 12 introduit le support de l’accélération 3D CSS, la possibilité de supprimer les cookies Flash, ou encore la suppression de Google Gears qui devient obsolète face aux capacités de travaille en mode déconnecté du HTML5.

En attendant cette mise à jour du navigateur qui sera proposée automatiquement aux utilisateurs, la prudence s’impose.

Voir la vidéo de Vupen déposée sur YouTube

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago