25 633 dollars pour une faille critique dans Chrome
lun, 22/02/2016 - 11:22
Après 6 failles classées de moyennes à hautes corrigées dans la mouture 48.0.2564.109 du navigateur Chrome, publiée il y a une dizaine de jours, c'est une faille critique qui vient d'être comblée.
La mouture 48.0.2564.116 corrige en effet une faille qui permet de contourner la Same-origin policy du moteur de rendu Blink et de sortir de la sandbox du navigateur.
Cette vulnérabilité permettait donc d'exécuter un code arbitraire et finalement prendre le contrôle de l'ordinateur à distance, ou d'accéder illicitement à des données. Pour mémoire, la Same-origin policy veut que le navigateur isole les différentes contenus en fonction de leur origine, afin qu'il ne soit normalement pas possible d'accéder à un contenu issu d'une origine A depuis un contenu issu d'une origine B.
Les détails techniques de cette faille ne seront pas divulgués, tant que la majorité des utilisateurs n'ont pas mis à jour leurs navigateurs.
Vérifiez que votre navigateur est à jour, en vous rendant dans le menu Aide | A propos. Vous devez y lire que la version de votre navigateur est 48.0.2564.116. En général les mises à jour sont faites automatiquement avec Chrome. Faites-la manuellement si ce n'est pas le cas.
Le découvreur de la faille est récompensé de 25 633 dollars dans le cadre du Bug Bounty de Chrome.