Post-Pwn2Own et Pwnium : Google corrige Chrome et Chrome OS

Le par  |  0 commentaire(s)
Chrome_logo.GNT

Google n'a pas tardé pour combler des vulnérabilités critiques dévoilées lors des concours de hacking Pwn2Own et Pwnium. Chrome et Chrome OS ont eu droit à des mises à jour après les exploits de Vupen et geohot.

Lors du Pwn2Own, tous les navigateurs ont failli. Les chercheurs en sécurité ayant pris part au challenge ont été en mesure d'exploiter avec succès des vulnérabilités 0-day dans Internet Explorer, Firefox et Google Chrome sous Windows 8.1 ainsi que Safari sous OS X 10.9.

Pour le Pwnium, c'est le système d'exploitation Chrome OS - ayant lui-même pour socle Chrome - qui n'a pas résisté lors d'une démonstration sur un Chromebook HP 11.

Quasiment dans la foulée de ces concours de hacking, Google a diffusé des mises à jour de sécurité pour son navigateur Chrome ainsi que Chrome OS afin de corriger les failles exploitées.

Cela n'a donc pas traîné même si l'on rappellera que compte tenu des règles des concours, les vulnérabilités découvertes ne sont pas divulguées publiquement mais seulement de manière confidentielle aux éditeurs. Un risque d'exploitation dans la nature est donc faible mais la rapidité de réaction de Google est à souligner.

Pour Google Chrome, les utilisateurs doivent disposer de la version 33.0.1750.154 pour Windows et de la version 33.0.1750.152 pour OS X et Linux. La plateforme Chrome OS est de son côté en version 33.0.1750.152.

Pwn2Own-GeoHotGoogle n'avait pas communiqué jusqu'à présent le nom du participant ayant pris à défaut Chrome OS. Il s'agit de geohot qui a également participé au Pwn2Own en attaquant Firefox. De son vrai nom George Hotz, geohot est pour mémoire ce célèbre jeune hacker qui a fait parler de lui pour le jailbreak d'iPhone et de la PlayStation 3.

Pour son hack de Chrome OS avec une compromission durable après redémarrage, geohot a touché la somme de 150 000 dollars. Sorte de grand vainqueur du Pwn2Own dont pour une exécution de code en dehors de la sandbox de Chrome, le Français Vupen a par ailleurs mis au jour une faille dans ce navigateur qui affecte également Chrome OS.

Hors Pwnium, le hacker Pinkie Pie a fourni ce que Google qualifie d'un " ensemble fascinant de vulnérabilités " qui prennent Chrome OS à défaut. Il recevra une récompense dont le montant demeure à déterminer.

Ces concours ainsi que les programmes de Bug Bounty montrent une nouvelle fois que le domaine de la sécurité est l'école de l'humilité... même pour Google avec Chrome.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]