Chrome de Google : les premières failles tapent à la porte

Quelques heures après son lancement, les premières failles de sécurité sont à déplorer pour le navigateur Chrome propulsé en page d'accueil du moteur le plus utilisé au monde. Cela était du reste presque attendu car on imagine aisément que comme à chaque sortie majeure d'un tel produit, une horde de chercheurs en sécurité informatique se précipite avec comme seul objectif de l'éprouver. Chrome n'a donc pas failli à la règle pour un fureteur qui rappelons-le est en version bêta.

Nos confrères de ZATAZ ont tout d'abord repéré une vulnérabilité mise à jour par Rishi Narang, alias psy.echo, et présente au niveau de la bibliothèque logicielle chrome.dll version 0.2.149.27.  Ainsi, un lien malicieux spécialement conçu peut entraîner le plantage de Chrome avec pour message : " Aïe aïe aïe ! Google Chrome est bloqué. Relancer maintenant ? " Une preuve de concept donne du crédit aux dires de psy.echo avec en cause une erreur de traitement avec lien suivi d'un caractère spécial. C'est ainsi le navigateur qui plante et ce malgré la promesse d'onglets isolés, fonctionnant indépendamment les uns des autres.

Chrome a également maille à partir avec une vulnérabilité héritée d'une version non à jour de son moteur de rendu WebKit. Une vielle connaissance dont nous avions déjà parlé en évoquant la vulnérabilité Carpet Bomb qui est ici associée à un bug Java. Dans la démonstration proposée par Aviv Raiff (inoffensive), lorsqu'un utilisateur visite une page, un fichier est automatiquement téléchargé et l'utilisateur est convié à l'ouvrir. Ce fichier est un fichier JAR (Java ARchive), et Raiff démontre qu'il est possible d'implanter des malwares sur le bureau Windows.

Chrome utilise WebKit 525.13 présent dans Safari 3.1, mais depuis, Apple a publié une version 3.1.2 de Safari comblant la vulnérabilité Carpet Bomb dont l'exploitation permet de télécharger sur le bureau des DLL s'exécutant au lancement de Windows.