Pour gérer vos consentements :
Categories: Mobilité

Faille critique dans Google Chrome : une découverte grassement rémunérée

Pour sa découverte d’une faille critique dans le navigateur Google Chrome, un hacker surnommé « Pinkie Pie » est reparti avec un Chromebook sous le bras… et 60 000 dollars en poche.

Le théâtre de sa performance ? une nouvelle session du concours Pwnium – la deuxième – tenue ce 10 octobre en Malaisie, dans le cadre du 10e anniversaire de la conférence Hack In The Box.

A l’initiative de Google, quiconque mettait le doigt sur une vulnérabilité classée critique était rétribué d’un minimum de 40 000 dollars.

La récompense maximale s’élevait à 60 000 dollars, avec une dotation globale plafonnée à 2 millions de dollars.

En une journée de compétition, le groupe Internet de Mountain View n’a mis qu’une seule fois la main au portefeuille, mais le jeu en valait bien la chandelle.

Et pour cause : la faille dont il est question est un « Full Chrome Exploit » de la plus haute importance, lié au support du SVG au sein du Webkit, ainsi qu’à la couche IPC.

Silicon.fr explique qu’un dépassement de tampon permettait l’accès à la mémoire d’un objet après libération de la ressource.

Les ingénieurs ont sur-le-champ pris le pli, se sont affairés à déployer un correctif et ont résorbé le mal en moins de 10 heures, avant de publier la version 22.0.1129.94 de Chrome, pour Windows, Mac OS et Linux.

Alerte à la faille critique pour Google Chrome
Le 9 octobre, à l’heure de publier Chrome en version 22.0.1229.92, Google a annoncé la résorption de 5 vulnérabilités, dont l’une classée critique.Celle-ci permettait la mise en place d’une « exploit » capable de passer outre le bac à sable (sandbox) du navigateur, ouvrant la voie à une prise de contrôle à distance de la machine infectée.

Cette découverte a valu à Atte Kettunen, de l’Oulu University Secure Programming Groupe, une récompense de 3133,70 dollars, auxquels se sont additionnés 1000 dollars pour une autre faille, jugée « importante ».

Crédit photo : Shutterstock – mkabakov

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago