Google Chrome : les premières failles

le 03/09/2008 à 20:16
Google Chrome : les premières failles
Voici le premier coup dur pour Google Chrome : quelques heures après la sortie du logiciel, plusieurs experts ont déjà découvert quelques failles de sécurité.

Sur le site officiel de Chrome, l'internaute peut lire: "Chaque onglet utilisé fonctionne indépendamment du navigateur. Par conséquent, si une application se bloque, les autres onglets ne sont pas affectés". Pourtant, Rishi Narang, un spécialiste de la recherche de vulnérabilités des programmes, a découvert qu'il peut en être autrement. Et pour cause, rien n'est plus simple pour faire crasher le navigateur de Google. Il suffit d'un lien formé d'un identifieur inconnu suivi d'un caractère spécial. Les plus audacieux n'auront qu'à cliquer sur lien au bas de cette page. Inutile de dire que si cette faille n'est pas rapidement corrigée, plusieurs développeurs web risquent de s'amuser...

Un second expert en sécurité, Aviv Raff, a remarqué qu'il était possible de combiner deux failles de sécurité pour duper l'utilisateur et installer sur la machine de la victime des fichiers exécutables. D'une part Google Chrome se base sur la version 525.13 de WebKit, soit celle utilisée dans Safari 3.1. Or cette mouture de WebKit est dépassée et considérée comme vulnérable. De son côté, Apple a distribué un patch avec la version 3.1.2 de Safari. Par ailleurs, Chrome comporterait un bug dans le moteur Java. L'expert a mis au point une petite démonstration inoffensive.

Si Chrome n'en est qu'au stade bêta, on espère néanmoins que Google adressera ces failles de sécurité dans les prochaines versions du logiciel.

A lire également

Hier nous apprenions que Google avait mis à disposition un petit plugin permettant de changer le moteur de rendu d'Internet Explorer. Baptisé Google Chrome Frame, cet outil fonctionne sous Windows XP SP2 et Windows Vista (IE 6, 7, 8) et permet ainsi de remplacer Trident par WebKit en y ajoutant le moteur JavaScript V8 de Google Chrome. Google met à disposition aux développeurs web un guide permettant de rendre leurs sites Internet compatibles ainsi qu'un script pour en proposer l'installation automatique à l'internaute. Chrome Frame permet notamment la prise en charge de différents éléments du HTML 5.

Cependant cette initiative ne semble pas au goût de tout le monde à commencer par Microsoft. Interrogé par le magazine Ars Technica, un porte-parole de la société affirme ainsi : "avec Internet Explorer 8, nous avons fourni de colossaux travaux pour rendre le navigateur plus sécurisé pour nos utilisateurs". Il ajoute: "étant donné les problèmes de sécurité que posent les plugins en général, et plus particulièrement avec Google Chrome, l'installation de Google Chrome Frame en tant que plugin redouble les menaces provenant de malware et scripts malicieux. Ce n'est pas un risque que nous recommanderions de prendre".

Peu de temps après sa sortie en septembre 2008, plusieurs vulnérabilités furent effectivement découvertes au sein du navigateur de Google. Ces dernières furent cependant rapidement corrigées. Rappelons également qu'au mois de mars, lors du concours Pwn2Own, plusieurs hackers avait décelé des failles de sécurité sur Internet Explorer, lesquelles ne furent corrigées qu'au mois de juin dernier. De son côte, Google Chrome avait été le seul navigateur à résister aux hackers lors de la première journée du concours.

Décrier les plugins fournis par Google, voilà l'une des habitudes de Microsoft qui avait également mis en garde contre l'extension Google Apps Sync développé pour le logiciel Outlook et visant à répliquer les fonctionnalités de Microsoft Exchange avec ses produits hébergés.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours