Vupen, société française experte en sécurité informatique vient d'annoncer la découverte d'une faille affectant le navigateur Internet Google Chrome en version 11. Cette vulnérabilité permet de télécharger puis d'exécuter n'importe quel programme sans avoir l'autorisation de l'utilisateur suite à l'ouverture d'une page internet spécialement conçue pour l'attaque.

Alors que le navigateur de Google avait, pour le moment, résisté aux différentes attaques des hackers, notamment lors des concours Pwn2Own, le système de sandbox (bac à sable) embarqué dans la version Windows du navigateur semble avoir cédé. Dans une vidéo d'exemple, le navigateur, suite au chargement d'une page spécialement conçue, parvient à exécuter la calculatrice Windows en dehors de cette sandbox, c'est à dire dans un autre processus non cloisonné par Google Chrome. De plus, les autres système de sécurité tels que ASLR et DEP ont aussi été contournés.

Le code ayant servi à l'exploitation de cette faille n'a pas été divulgué publiquement et seuls les gouvernements étant clients de la société sont informés quant au mode opératoire de l'attaque.


Commentaires | Imprimer | Ajouter à :

• 10/05/2011 - Patch tuesday mai : seulement 2 mises à jour
• 24/03/2011 - Windows et certificats SSL : mise à jour de sécurité exceptionnelle
• 09/03/2011 - Patch tuesday mars : 1 mise à jour critique
• 09/02/2011 - Patch tuesday février : 12 patchs proposés
• 14/12/2010 - Patch tuesday décembre : 17 patchs pour 40 failles
• 26/11/2010 - Windows XP, Vista et 7 victimes d'une faille 0-day trompant l'UAC
• 10/11/2010 - Patch tuesday novembre : seulement 3 mises à jour
• 13/10/2010 - Patch tuesday octobre : 16 mises à jour dont 4 critiques
• 12/10/2010 - Tout savoir sur les rootkits et comment les éliminer
• 01/10/2010 - Le ver Stuxnet arrive en Chine