Google corrige Chrome et paie un chercheur

La version stable 4.0 de Google Chrome, qui n'est toujours disponible que pour le seul système d'exploitation Windows, bénéficie d'une mise à jour de maintenance ( 4.0.249.89 ). La raison de cette publication est la correction de plusieurs vulnérabilités de sécurité, dont trois pour lesquelles le risque est élevé.

Ces dernières sont relatives à un dépassement d'entier dans le moteur JavaScript V8, un dépassement d'entier qui désérialise le message sandbox et une erreur de traitement avec la balise ruby. Ce n'est pas forcément très parlant, mais cela tient à la politique de Google qui préfère attendre le déploiement massif d'une mise à jour avant de divulguer de plus amples détails.


Google passe à la caisse
D'autres correctifs intégrés visent à combler trois vulnérabilités pour lesquelles la dangerosité est considérée comme faible ou moyenne. Reste que même avec un risque moyen, une vulnérabilité relative à une confusion de domaine lors du remplissage d'un dialogue d'authentification HTTP vaut à un chercheur en sécurité informatique de Virtual Security Research de recevoir de l'argent de la part de Google.

C'est la première application du programme expérimental que Google a lancé et que nous avons évoqué dans nos colonnes. Pour sa trouvaille, Timothy D. Morgan a reçu 500 dollars. Mais comme il s'est en plus montré généreux en faisant don de cette somme aux opérations de secours en Haïti, Google a augmenté la récompense à 1 337 $ ( le maximum prévu par le programme ).

Avant Google, Mozilla avait déjà mis en place un tel système de récompenses pour les vulnérabilités découvertes par des tiers. Payer pour découvrir des failles, pour Bernard Ourghanlian de Microsoft France : " la sécurité est une école de l'humilité ".