Chrome victime d’une faille ‘zero day’ non corrigée

Le prestataire Vupen déclare avoir découvert une faille critique dans Google Chrome pourtant réputé pour sa capacité de résistance face aux attaques. Rare mais visiblement possible.

« Nous avons le (dé)plaisir que nous avons officiellement compromis Google Chrome et son bac à sable », annonce Vupen. Le prestataire français en sécurité déclare avoir découverte une faille de type zero day dans Chrome qui possède « l’un des bacs à sable le plus sécurisé ». C’est rare mais ça arrive. Bien que réputé pour son niveau de sécurité élevé, Chrome constitue aujourd’hui un vecteur d’attaque critique.

Vupen a ainsi découvert comment contourner les protections du navigateur afin d’exécuter du code arbitraire quelle que soit la version du butineur de Google. Comme on peut le voir sur cette vidéo, une fois amené sur une page web spécialement développée pour exploiter la faille critique, Chrome télécharge et installe une calculatrice sur le système. Un utilitaire sans danger pour l’effet de la démonstration mais qui sera évidemment remplacée par des applications beaucoup moins anodine en cas d’attaque réelle. Sans qu’aucune barrière de Chrome n’en interdise l’opération.

La démonstration a été faite à partir de Chrome 11 (v11.0.696.65) sous Windows 7 SP1 (64 bits). Vupen assure que la faille est également exploitable sur la version 32 bits de l’OS de Microsoft. Néanmoins, Vupen ne publie pas les détails de la faille, tant pour des raisons de sécurité que pour en tirer un avantage commercial vis-à-vis de leurs clients dans le cadre de ses prestations de sécurité. Vupen annonce également avoir détrompé les barrières de sécurité ASLR (address space layout randomization) et DEP (data execution prevention) de Windows 7.

Vupen s’est notamment distingué en révélant, en 2010, une vulnérabilité propre au traitement du format PDF dans Apple iOS. En mars 2011, le prestataire a également gagné un prix de 15.000 dollars au concours Pwn2Own pour avoir exploité une vulnérabilité non corrigée de Safari, le navigateur d’Apple.

Google n’a pas confirmé la trouvaille de Vupen. Néanmoins, l’entreprise de Moutain View vient d’introduire la version 12 du navigateur en mode bêta. Parmi les nouveautés de Chrome, on y note « une nouvelle protection de navigation contre le téléchargement de fichiers malveillants ». Google aurait-il anticipé la faille découverte par Vupen? Parmi les autres nouveautés, Chrome 12 introduit le support de l’accélération 3D CSS, la possibilité de supprimer les cookies Flash, ou encore la suppression de Google Gears qui devient obsolète face aux capacités de travailler en mode déconnecté du HTML5. En attendant cette mise à jour du navigateur qui sera proposée automatiquement aux utilisateurs, la prudence s’impose.