Lors du concours Pwnium organisé en marge de la conférence CanSecWest et soutenu financièrement par Google, l'étudiant russe Sergey Glazunov est parvenu à hacker un ordinateur Windows 7 via deux failles 0-day dans Google Chrome.

L'exploit de Glazunov a également contourné la protection sandbox de Google Chrome pour exécuter du code avec les droits complets de l'utilisateur connecté. Contrairement aux nouvelles règles de l'autre concours Pwn2Own, Google a pu avoir accès aux détails de l'attaque.

Et cela n'a pas traîné. En moins de 24 heures, des correctifs ont été élaborés afin de combler les deux vulnérabilités critiques. Il est fait référence à une faille UXSS ( universal cross-site scripting ) et un problème au niveau de l'historique de navigation.

Pour de telles trouvailles, Sergey Glazunov - un habitué des rétributions Google - a reçu 60 000 dollars sur le jusqu'à un million de dollars mis en jeu pour le Pwnium. La mise à jour 17.0.963.78 de Google Chrome s'adresse aux plateformes Windows, Mac et Linux. À noter par ailleurs que Google en profite pour corriger des problèmes avec les vidéos et jeux Flash.

Lors du Pwn2Own, l'équipe du Français VUPEN est aussi parvenue à faire tomber Google Chrome, mais il n'est pas très clair si pour cela ce n'est pas plutôt une vulnérabilité dans le plugin Flash Player - intégré par défaut dans Google Chrome - qui a été exploitée. VUPEN garde la primeur d'une protection à ses clients.

Le plugin Flash Player dans Google Chrome est exécuté dans une sandbox moins robuste que pour le navigateur dans son ensemble. La protection pour ce plugin devrait être améliorée d'ici la fin de l'année avec Google qui planche sur ce problème, rapporte le blog Zero Day de ZDNet.