Faille critique dans la fonction "Enregistrer sous" de Chrome
Chrome ? Magnons-nous !
Les jours se suivent et ne se ressemblent pas pour Chrome, le premier navigateur signé Google. Une faille jugée critique a été repérée par une société vietnamienne spécialisée dans la sécurité, Bach Khoa Internet Security (BKIS). Cette attaque permet de faire exécuter du code à distance sur une machine hôte afin de prendre un contrôle total du système affecté ou générer des dommages internes. Le POC ou Proof of Concept, consécutif à un débordement de mémoire, a été confirmé sur la version 00.2.149.27 utilisée sous l’environnement Windows SP2. Il montre comment, à l’aide de la fonction « enregistrer sous », on peut exécuter du code à distance, et ce, via un simple lien HTML.
Dans les exemples publiés en ligne, l’exécution de cette sauvegarde anodine lancera automatiquement la Calculatrice Windows. Bien entendu, d’autres utilisateurs moins bien intentionnés pourraient évidemment croiser l’instruction avec des fonctions nettement moins innocentes. Google a d’ores et déjà mis en ligne un patch. Comme annoncé dans la licence d‘utilisation, le navigateur se met automatiquement à jour lorsqu'une version plus récente est disponible. Cependant, « pour vérifier si une mise à jour manuelle est disponible ou connaître le numéro de la version en cours, procédez comme suit : cliquez sur le menu Chrome, sélectionnez À propos de Google Chrome. Le cas échéant, lorsqu'une mise à jour est disponible, le bouton Mettre à jour s'affiche. Cliquez sur le bouton, puis relancez Chrome pour utiliser la dernière version ». Si votre navigateur est à jour, vous devriez voir afficher la version 0.2.149.29.
Dans les exemples publiés en ligne, l’exécution de cette sauvegarde anodine lancera automatiquement la Calculatrice Windows. Bien entendu, d’autres utilisateurs moins bien intentionnés pourraient évidemment croiser l’instruction avec des fonctions nettement moins innocentes. Google a d’ores et déjà mis en ligne un patch. Comme annoncé dans la licence d‘utilisation, le navigateur se met automatiquement à jour lorsqu'une version plus récente est disponible. Cependant, « pour vérifier si une mise à jour manuelle est disponible ou connaître le numéro de la version en cours, procédez comme suit : cliquez sur le menu Chrome, sélectionnez À propos de Google Chrome. Le cas échéant, lorsqu'une mise à jour est disponible, le bouton Mettre à jour s'affiche. Cliquez sur le bouton, puis relancez Chrome pour utiliser la dernière version ». Si votre navigateur est à jour, vous devriez voir afficher la version 0.2.149.29.
Marc Rees
le 8 septembre 2008 à 16:16
(22 623
lectures)
Actualités et brèves relatives
- 08 / 09 / 2008 : Stats PC INpact : le brillant Chrome passera-t-il l'hiver ?
- 08 / 09 / 2008 : Brèves : sécuriser l'iPhone, FAI apocalypse, Chrome pas beau
- 05 / 09 / 2008 : Google corrige une partie de la licence utilisateur de Chrome
- 04 / 09 / 2008 : Stats PC INpact : combien de Chrome pour le premier jour ?
- 04 / 09 / 2008 : Licence Chrome : Google tente de rassurer... en vain
- 03 / 09 / 2008 : Nos premières impressions sur Google Chrome
- 03 / 09 / 2008 : Des troubles sur la licence d’utilisation de Google Chrome
- 02 / 09 / 2008 : Tous les premiers détails sur Chrome, le navigateur de Google
