1ère faille de sécurité découverte sur Google Chrome
Quelques heures après la sortie de Google Chrome, il semblerait qu'une faille de sécurité ait été découverte, permettant d'exécuter du code de provenance inconnue dans le processus de Google Chrome...
Cette première faille de sécurité de Google Chrome a été repérée par EBArtSoft :
Il est possible de charger n'importe quelle DLL dans le process de Chrome avec un simple shellexecute.
Le processus chrome.exe apparaitrait alors normalement dans la liste des taches sans erreur notoire. Néanmoins un code malveillant pourrait télécharger, exécuter, espionner et bien d'autres choses à travers Chrome.exe. Ceci grâce à l'argument de ligne de commande --plugin-path qui permet de charger une DLL (fichier binaire contenant du code) au sein de Chrome.exe visiblement sans vérification de sa provenance. Même si le processus a des droits limités sur le système cette DLL bénéficie d'une excellente couverture.
Je suis bien incapable de juger l'importance de cette faille (ni même s'il s'agit bien d'une faille). Mais voilà donc le début des problèmes de Google Chrome ? Chez moi la version actuelle est la 0.2.149.27, nous verrons prochainement si le logiciel est mis à jour rapidement pour corriger cette faille (et d'autres qui doivent forcément exister). Normalement le logiciel se met à jour tout seul, sans avoir besoin de le télécharger à nouveau.
Par Olivier Duffez 
, Mercredi 3 septembre 2008
A propos de l'auteur : Olivier Duffez 
Consultant indépendant en référencement, Olivier Duffez a travaillé pour les plus grands sites (Doctissimo, FNAC, RueDuCommerce...). Il édite le site WebRankInfo.com qu'il a créé en 2002, devenu la plus grande communauté francophone sur le référencement (+ 200.000 membres et 1,3 million de posts). Il a également créé la société Ranking Metrics, leader des formations emarketing en France (référencement naturel, AdWords, Analytics, réseaux sociaux).
Si vous souhaitez publier un extrait de cet article sur votre site, assurez-vous de respecter les conditions générales d'utilisation de WebRankInfo.
9 commentaires
Postez un commentaire !
Les champs marqués du signe * sont obligatoires. L'adresse email ne sera pas affichée.
En postant un commentaire, vous acceptez les CGU du site WebRankInfo.
Formation référencement et webmarketing
Venez chez Ranking Metrics vous former au référencement, à Google Analytics et aux réseaux sociaux ! Plus de 4000 entreprises sont déjà venues (financement possible par OPCA, DIF...).
Préparés et animés par Olivier Duffez (WebRankInfo) et Fabien Faceries (AgentWebRanking), 2 professionnels reconnus dans le domaine, nos modules sur le référencement naturel sont très complets tout en laissant une grande place à l'interactivité pour répondre à toutes les questions des participants.
Pour connaître le plan détaillé de chaque module, le prix, les dates et les lieux, consultez le site de Ranking Metrics (organisme de formation agréé).
Hébergement web
Pour un bon référencement, il faut un bon hébergeur. Testez Sivit, l'hébergeur choisi par Olivier Duffez pour son site WebRankInfo. Vous bénéficiez d'une garantie 30 jours satisfait ou remboursé.
A partir de 1,90 EUR HT/mois.
Catégories des dossiers
- Actualité
- Android
- Autres produits Google
- Brèves
- Conseils référencement
- Débuter en référencement
- Droit et Internet
- e-marketing
- Ecrire pour le web et le référencement
- Gmail
- Google AdSense
- Google AdWords
- Google Analytics
- Google Chrome
- Google Images
- Google Labs
- Google Maps
- Google Mobile
- Google News
- Google Search
- Google Toolbar
- Google Webmaster Tools
- Google+
- Indexation Google
- L'entreprise Google
- Les API de Google
- Livres sur le référencement et les moteurs de recherche
- Outils
- PageRank
- R&D référencement
- Ranking Metrics
- Référencement Bing
- Référencement des images
- Référencement et PHP
- Référencement local
- Référencement Yahoo
- Référencement Yandex
- Réseaux sociaux
- Sitemaps
- Stratégies de liens
- Stratégies de mots-clés
- Techniques de référencement
- Webmastering
- WebRankInfo
- YouTube
Contact
Confidentialité
3 septembre 2008 à 15:38
Apparemment il y en a une autre : evilfingers.com/advisory/...
3 septembre 2008 à 16:48
Les failles de sécurités sont inévitables pour les navigateurs. Mais le fait qu'une première faille soit découverte aussi vite me perturbe / m'inquiete un peu.
Est ce du au fait que le code à été baclé et la béta sortie trop tot, ou simplement du fait que cette version béta n'a pas fait dans la discretion lors de sa sortie et que une grande partie de web la scrute et la jauge?
3 septembre 2008 à 18:14
La premiere n'est pas vraiment une faille de sécurité. Si un processus malveillant s'exécute au niveau du shell c'est que l'ensemble de la machine est déjà compromis. Dans un tel cas de figure, il est également facile de faire exécuter n'importe quelle DLL malveillante à n'importe quel navigateur...
La seconde est un bug. Pour dire que c'est une faille, il faudrait d'abord trouver une recette permettant de l'exploiter. ce qui n'est pas encore le cas d'après ce que je vois. Le risque est donc ici potentiel mais non avéré. Ceci dit, sur une bétâ juste sortie du four, ça n'a rien de surprenant. C'est le rôle d'une bêta de déceller les bugs.
Donc, attention au FUD alarmiste. Ce qui sera en revanche intéressant dobserver, cest à quelle vitesse Google corrigera le bug qui présente un risque.
3 septembre 2008 à 18:20
Merci pour ces précisions !
3 septembre 2008 à 22:00
Voilà une autre faille décrite ici...
4 septembre 2008 à 1:32
Et celle-ci, c'est bel et bien une faille. Un gouffre même...
4 septembre 2008 à 2:41
La solution c'est de le désinstaller. Car il est non utile et en plus il y'a des grandes failles. En plus y a des polices et des tailles de l'écriture qui ne sont pas reconnus. Lors d'une navigation sur Internet j'allais bientôt perdre mes yeux à cause de très grosses polices pourtant je rassure chacuns et chacunes dentre vous que je porte pas de loupes a mes yeux :). Il déplace même des éléments d'un site ce qui n'est pas pratique. J'ai découvert le navigateur par la presse, trop médiatique pour rien. Pour moi cest de largent à la poubelle, mais bon la ou yen a trop. Le gaspillage ça ne se compte pas. Il aurait été plus utile de le mettre pour ceux qui ont faims dehors ou une association, mais bon afin.
13 septembre 2008 à 18:25
Chrome avec un problème de sécurité? Je ne suis pas surpris, il s'agit d'un navigateur qui s'inscrit dans la politique de Google qui ne sait pas rester tranquille et nous balade de version Beta
16 novembre 2010 à 15:42
Qd je relis ce post..je me dis que chrome a bien changé ! et en bien