Chrome de Google : les premières failles tapent à la porte

Le par  |  13 commentaire(s) Source : Merci petitlutinmalin
Google_Chrome_Logo

A peine débarqué sur la Toile, le navigateur Web de Google souffre déjà de ses premières vulnérabilités de sécurité.

Google_Chrome_LogoQuelques heures après son lancement, les premières failles de sécurité sont à déplorer pour le navigateur Chrome propulsé en page d'accueil du moteur le plus utilisé au monde. Cela était du reste presque attendu car on imagine aisément que comme à chaque sortie majeure d'un tel produit, une horde de chercheurs en sécurité informatique se précipite avec comme seul objectif de l'éprouver. Chrome n'a donc pas failli à la règle pour un fureteur qui rappelons-le est en version bêta.

Nos confrères de ZATAZ ont tout d'abord repéré une vulnérabilité mise à jour par Rishi Narang, alias psy.echo, et présente au niveau de la bibliothèque logicielle chrome.dll version 0.2.149.27.  Ainsi, un lien malicieux spécialement conçu peut entraîner le plantage de Chrome avec pour message : " Aïe aïe aïe ! Google Chrome est bloqué. Relancer maintenant ? " Une preuve de concept donne du crédit aux dires de psy.echo avec en cause une erreur de traitement avec lien suivi d'un caractère spécial. C'est ainsi le navigateur qui plante et ce malgré la promesse d'onglets isolés, fonctionnant indépendamment les uns des autres.

Chrome a également maille à partir avec une vulnérabilité héritée d'une version non à jour de son moteur de rendu WebKit. Une vielle connaissance dont nous avions déjà parlé en évoquant la vulnérabilité Carpet Bomb qui est ici associée à un bug Java. Dans la démonstration proposée par Aviv Raiff (inoffensive), lorsqu'un utilisateur visite une page, un fichier est automatiquement téléchargé et l'utilisateur est convié à l'ouvrir. Ce fichier est un fichier JAR (Java ARchive), et Raiff démontre qu'il est possible d'implanter des malwares sur le bureau Windows.

Chrome utilise WebKit 525.13 présent dans Safari 3.1, mais depuis, Apple a publié une version 3.1.2 de Safari comblant la vulnérabilité Carpet Bomb dont l'exploitation permet de télécharger sur le bureau des DLL s'exécutant au lancement de Windows.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #313041
Chrome & IE même combat
Lent, beugé, instable, trous de sécurité
Le #313061
Le lien "preuve de concept" ne fonctionne pas !

Pour le fichier JAR, je vois pas quel est le problème ???
Ce genre de fichier ne s'ouvre pas de toute façon (uniquement avec Java)... Enfin pas avec IE ou FX... qui ne font qu'enregistrer le fichier ou qui "l'ouvre" avec une JVM mais dans ce cas là ce n'est pas le navigateur mais Java qui dit "could not find the main class. Program will exist".
Bref, si Chrome plante simplement en essayant d'ouvrir un fichier qu'il n'est pas censé ouvrir ça prouve ce que je pensais dès le début : c'est de la merde (tout comme le contrat de licence).
Le #313071
Tu n'as pas dû l'essayer pour poster un tel commentaire. Très rapide, très stable, open-source donc pas tellement le même combat que IE, bref ton commentaire sent bon le troll velu.

Nul doute que ces failles seront corrigées sous peu. En revanche c'est assez décevant qu'un simple lien un peu spécial puisse faire planter le navigateur, ce qui selon Google ne devrait pas pouvoir être possible.
Le #313101
en meme temps c'est une version beta ...
Le #313121
@Jules César "en meme temps c'est une version beta ..."

En même temps, google et le mot beta..... combien de temps les autres service se traine ce mot ?
Le #313171
google = beta ?
Le #313221
L'est toujours aussi drole, le p'tit phebus...

"En même temps, google et le mot beta..... combien de temps les autres service se traine ce mot ? "
--
C'est sur que google a un concept particuliers de "beta", mais en l'occurence, le truc est sorti y'a deux jours, donc je pense qu'il vaudrait mieux lui laisser un peu de temps.

D'ailleurs, tu remarqueras que les bugs sur gmail "beta" ne sont pas particulierement fréquents(depuis qu'ils ont corrige l'incompatibilité FF3 et gchat, j'en vois vraiment plus)
Le #313261
évidemment tout le monde sait que les widgets utilisé dans igoogle sont plein de failles de sécu.

eux aussi ils sont toujours en Beta ?!
Le #313271
j'avais pas vu que gmail etais tjs en beta !
Le #313381
mais le béta les dédouane de toute responsabilité quant à l'utilisateur (bugs, niveau de service de gmail....). C'est de notre faute si on utilise leur service béta, en quelque sorte !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]