Google intensifie ses efforts en direction de la communauté des chercheurs en sécurité et autres hackers afin qu'ils débusquent des vulnérabilités. Une motivation entretenue par des programmes de rémunération voire de subvention depuis peu.
Les efforts sont récompensés (une bonne ou mauvaise nouvelle ?) comme avec Google Chrome qui a aujourd'hui droit à une mise à jour de maintenance afin de combler onze vulnérabilités de sécurité. Les sommes qui seront reversées pour ces dernières trouvailles restent encore à déterminer.
Les détails pour les failles ne sont pas encore connus, histoire de laisser du temps à la mise à jour d'atteindre une majorité d'utilisateurs. On soulignera qu'il n'y a rien de critique, ce qui sous-entend que la protection sandbox n'est pas prise à défaut.
Par ailleurs, plusieurs bugs ont été détectés via des outils tels que AddressSanitizer qui permet de détecter des erreurs concernant la gestion de la mémoire. Cela aide forcément.
Google n'en fait pas mention dans ses notes de version mais Google Chrome 40.0.2214.111 apporte comme attendu une mise à jour du composant Flash Player intégré. Celui-ci ne souffrait pas uniquement d'une 0-day exploitée dans des attaques mais également de dix-sept autres vulnérabilités (a priori non exploitées par des attaquants).
À noter que Microsoft propose via Windows Update une mise à jour d'Internet Explorer 10 / 11 (pour Windows 8.x) concernant le composant Flash Player intégré par défaut. Par contre, pas encore de correction concernant la vulnérabilité identifiée par le chercheur en sécurité britannique David Leo.
Au sujet de Google Chrome, on ne sait pas si Google a profité de la correction Flash Player pour combler d'autre bugs ou l'inverse.
