Voici le premier coup dur pour Google Chrome : quelques heures après la sortie du logiciel, plusieurs experts ont déjà découvert quelques failles de sécurité.
Sur le site officiel de Chrome, l'internaute peut lire: "Chaque onglet utilisé fonctionne indépendamment du navigateur. Par conséquent, si une application se bloque, les autres onglets ne sont pas affectés". Pourtant, Rishi Narang, un spécialiste de la recherche de vulnérabilités des programmes, a découvert qu'il peut en être autrement. Et pour cause, rien n'est plus simple pour faire crasher le navigateur de Google. Il suffit d'un lien formé d'un identifieur inconnu suivi d'un caractère spécial. Les plus audacieux n'auront qu'à cliquer sur lien au bas de cette page. Inutile de dire que si cette faille n'est pas rapidement corrigée, plusieurs développeurs web risquent de s'amuser...
Un second expert en sécurité, Aviv Raff, a remarqué qu'il était possible de combiner deux failles de sécurité pour duper l'utilisateur et installer sur la machine de la victime des fichiers exécutables. D'une part Google Chrome se base sur la version 525.13 de WebKit, soit celle utilisée dans Safari 3.1. Or cette mouture de WebKit est dépassée et considérée comme vulnérable. De son côté, Apple a distribué un patch avec la version 3.1.2 de Safari. Par ailleurs, Chrome comporterait un bug dans le moteur Java. L'expert a mis au point une petite démonstration inoffensive.
Si Chrome n'en est qu'au stade bêta, on espère néanmoins que Google adressera ces failles de sécurité dans les prochaines versions du logiciel.
Sur le site officiel de Chrome, l'internaute peut lire: "Chaque onglet utilisé fonctionne indépendamment du navigateur. Par conséquent, si une application se bloque, les autres onglets ne sont pas affectés". Pourtant, Rishi Narang, un spécialiste de la recherche de vulnérabilités des programmes, a découvert qu'il peut en être autrement. Et pour cause, rien n'est plus simple pour faire crasher le navigateur de Google. Il suffit d'un lien formé d'un identifieur inconnu suivi d'un caractère spécial. Les plus audacieux n'auront qu'à cliquer sur lien au bas de cette page. Inutile de dire que si cette faille n'est pas rapidement corrigée, plusieurs développeurs web risquent de s'amuser...
Un second expert en sécurité, Aviv Raff, a remarqué qu'il était possible de combiner deux failles de sécurité pour duper l'utilisateur et installer sur la machine de la victime des fichiers exécutables. D'une part Google Chrome se base sur la version 525.13 de WebKit, soit celle utilisée dans Safari 3.1. Or cette mouture de WebKit est dépassée et considérée comme vulnérable. De son côté, Apple a distribué un patch avec la version 3.1.2 de Safari. Par ailleurs, Chrome comporterait un bug dans le moteur Java. L'expert a mis au point une petite démonstration inoffensive.
Si Chrome n'en est qu'au stade bêta, on espère néanmoins que Google adressera ces failles de sécurité dans les prochaines versions du logiciel.
-
Auteur
-
Origine
