Il fallait bien s’y attendre…moins de 24 heures après le lancement du navigateur Google Chrome, deux failles de sécurité ont été identifiées…

Faut-il rappeler que Google Chrome est en version beta pour le moment et qu’aucun produit n’est exempt de failles de sécurité ? (Typiquement, Firefox est régulièrement mis à jour…et ce n’est pas pour rien…).

La version actuelle, réputée vulnérable est estampillée 0.2.149.27 et il est certain que Google ne tardera pas à mettre à jour son navigateur !

D’ailleurs…ces vulnérabilités ne participent-elle pas quelque part au succès de Google Chrome qui continue à faire couler beaucoup d’encre (électronique) sur les blogs ?

Voyons en quoi ces premières vulnérabilités sont un risque pour la sécurité et la stabilité de Google Chrome:

[Suite:]

1) La première faille identifiée permet de faire planter Google Chrome et l’ensemble des onglets, ce qui est plutôt surprenant:

En effet, l’une des grandes forces du navigateur de Google est justement de lancer un processus différent pour chaque onglet ouvert, ce qui devait normalement permettre d’éviter un plantage complet de Google Chrome… ca commence mal…

L’exploitation de cette faille de sécurité est ultra basique et peut être mis en ouvre par un enfant ! Concrètement, il s’agit simplement du caractère “%” placé dans un lien…

Lorsque vous naviguez sur une page qui contient ce lien malicieux , le simple fait de le survoler (sans même le cliquer !) va faire planter non pas l’onglet de Chrome sur lequel vous avez ouvert la page, mais bel et bien tous les processus Google Chrome…

Je vous propose de voir le résultat par vous même:

ATTENTION à ne cliquer sur ce lien que pour tester le plantage complet de Google Chrome

2) La deuxième faille se sécurité identifiée permet de télécharger et d’exécuter du code automatiquement :

Il s’agit d’une faille de sécurité héritée du moteur de rendu utilisé par Google Chrome qui n’est autre que le Apple WebKit également utilisé dans le navigateur de Apple Safari !

Le hic, c’est que la version utilisée par Google est déjà connue pour cette faille de sécurité et qu’elle a déjà été mise à jour pour Safari…

La version actuelle de Google Chrome utilise le moteur de rendu Apple WebKit 525.13 (Safari 3.1) alors que la dernière version de Safari est désormais estampillée 3.1.2 (au passage, je signale que vous pouvez également tester Safari sur Windows si vous êtes curieux…).

Cette vulnérabilité est donc déjà connue sous le nom de “Carpet Bomb” et est associée à un bug Java qui permet de télécharger automatiquement un fichier puis de l’exécuter, ce qui pourrait permettre de compromettre votre système d’exploitation !

Une démonstration inoffensive est proposée par Aviv Raiff.

Espérons que Google comble au plus vite cette faille de sécurité particulièrement grave…

3) Version de Google Chrome : Comment la trouver ?

Pour identifier quelle est la version du navigateur Google Chrome que vous utilisez, c’est très simple…vous avez au moins 2 possibilités:

Passer par le menu outils (la clé à molette en haut à droite) puis sélectionnez “à propos de Google Chrome” et vous obtenez la fenêtre d’information suivante:

On notera au passage l’information sur la dernière ligne qui précise que c’est bien la dernière version qui est installée…”Google Chrome est à jour”.

Mais il y a encore beaucoup plus simple pour identifier la version courante de votre navigateur Google Chrome:

Dans la barre de navigation vous pouvez taper directement “about:version” et vous obtenez la page d’information suivante:

Pour aller plus loin:

• La page officielle de Chromium (code source open source de Google Chrome)
• Le blog officiel de Chromium
• Le groupe Chromium-dev
• Les documents de référence pour utiliser le code source de Google Chrome (Chromium)
• Discussion de développeurs sur le crash de Google Chrome avec le caractère %