Internet

Le Chrome Sandbox est enfin dépassé

Aucun navigateur actuel n’est sûr à 100%. Ses créateurs, cependant, utilisent différentes techniques pour s’assurer qu’ils sont aussi sûrs que possible pour leurs utilisateurs. C’est la tactique utilisée par Google lors de la création de Chrome avec un bac à sable, entre autres. De ce fait, tout le code exécuté par le navigateur est limité aux processus qui ne peuvent pas accéder directement à la mémoire ou à d’autres composants de l’ordinateur. Ou du moins, ils ne pouvaient pas.

Vulpen Security, une société de sécurité franco-américaine, a annoncé aujourd’hui la découverte de la première vulnérabilité majeure de Chrome, qui permet exactement cela. Ils ont réalisé quelque chose que personne n’a réussi en trois ans de concours Pwn2Own : surmonter leur principale mesure de sécurité, le bac à sable Chrome. Voir ci-dessous la vidéo de la faille explorée.

(Vidéo sur YouTube)

Selon eux, la faille fonctionne sur la version 11.0.696.65 du navigateur, qui est la version stable et la plus récente jusqu’à la publication de ce billet. Le code qu’ils ont créé exécute plusieurs actions différentes dans le but ultime de faire en sorte que le navigateur télécharge et exécute tout fichier en dehors du bac à sable. Dans ce cas, ils ont choisi une calculatrice, mais il pourrait facilement s’agir d’un virus, d’un logiciel malveillant ou de tout autre type de fichier malveillant.

  Internet Explorer condamne Microsoft à une amende d'un milliard de dollars

La société affirme qu’elle ne rendra pas le code de vulnérabilité public. Donc, si vous vouliez savoir en détail ce qu’ils ont fait, vous devrez attendre que Google règle le problème ou que quelqu’un d’autre le découvre et le divulgue.

Conseil du lecteur Fernando Takai sur Twitter. Merci, Takai !

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire