La société française Vupen spécialisée en sécurité informatique a découvert une faille de sécurité de type 0-Day dans le navigateur Google Chrome.
Vupen est parvenu à contourner la sandbox du navigateur et à lancer la calculatrice Windows, alors que ce dispositif de sandbox est justement censé isoler chaque onglet du navigateur et du système d’exploitation. Pour ce faire, les équipes de Vupen ont aussi passé outre les barrières de sécurité ASLR (Address Space Layout Randomization) et DEP (Data Execution Prevention) de Windows 7.
De fait, des individus malintentionnés pourraient exploiter cette faille dans le but d’exécuter du code arbitraire sur les machines équipées de Chrome via une page Internet piégée.
Pour appuyer son propos, Vupen a publié une vidéo dévoilant cette faille et ses effets sous Google Chrome v11.0.696.65 et Windows 7 64 bits SP1.
Google vient tout juste de lancer la version bêta de Chrome 12 qui propose justement de renforcer la sécurité avec une protection contre le téléchargement de logiciels malveillants via l’API Safe Browsing.
Côté vie privée, Chrome 12 bêta offre la possibilité de supprimer les Local Shared Objects (LSO), soit les données stockées en local et liées à Flash via les Options avancées > Effacer les données de navigation.
La prise en charge de l’accélération matérielle se voit aussi améliorée sous Chrome 12 avec le support des CSS 3D.
Vous pouvez télécharger Google Chrome 12 beta pour : Windows, Linux et Mac OS X.
[Source : Vupen et LaptopSpirit]
