Chrome permet de lire dans la RAM d’un ordinateur

Google vient de livrer une mouture de maintenance de son navigateur web Chrome 49. Une version qui corrige cinq failles de sécurité, dont aucune n’est classée critique. Il n’est donc pas possible de les utiliser pour prendre le contrôle du PC d’un internaute à distance, le bac à sable du butineur faisant ici son office.

Ces failles demeurent toutefois d’un niveau élevé. Aussi la mise à jour de l’application devra être réalisée sans tarder (elle sera automatique dans la plupart des cas). Chrome 49.0.2623.108 est accessible sous Windows, OS X et Linux.

Des failles qui demeurent graves

Google verse 18 000 dollars aux personnes ayant découvert ces vulnérabilités, dont 7500 dollars à Wen Xu, du Tencent KeenLab, pour avoir découvert une faille permettant de lire le contenu de la mémoire vive d’un PC au travers du moteur JavaScript V8.

Une autre correction concerne une faille découverte lors du concours de hacking Pown2Own. Elle permettait de faire planter le butineur via un dépassement de tampon dans le composant libAngle (une librairie permettant d’apporter le support OpenGL ES 2.0 à Windows).

Les développeurs ont également profité de cette version de Chrome pour apporter des modifications au moteur JavaScript V8, afin de combler plusieurs vulnérabilités, qui n’avaient pas encore été détectées par les experts du monde de la sécurité.