Google paye 60.000 dollars pour une faille de Chrome

Le concours Pwnium2 a couronné un unique gagnant, qui remporte 60 000 dollars pour la découverte d’une faille critique dans Chrome. Une vulnérabilité comblée en moins de 10 heures par Google.

Fin août, Google annonçait la tenue d’une seconde session du concours Pwnium. Objectif, trouver des failles de sécurité critiques dans le navigateur web Chrome, chacune d’entre elle étant rétribuée entre 40 000 et 60 000 dollars, dans la limite de deux millions de dollars.

Le concours a eu lieu hier, le 10 octobre, en Malaysie (dans le cadre du 10e anniversaire de la conférence Hack In The Box). Un hacker, connu sous le nom de Pinkie Pie, a trouvé une faille critique dans le butineur de Google.

Cette faille est un “Full Chrome Exploit”. Ceci lui vaut donc de toucher la somme maximale : 60 000 dollars (et un Chromebook en cadeau). C’est le seul prix décroché dans le cadre du concours.

Une correction express

La faille est liée au support du SVG au sein du WebKit et à la couche IPC.

Pour le SVG, un dépassement de tampon est exploité (possibilité d’accéder à la mémoire d’un objet après libération de la ressource). Ceci permet d’accéder librement au moteur de rendu, puis, via un bogue de la couche IPC, au système d’exploitation.

Pinkie Pie n’a pas été le seul à réaliser un ‘exploit’. Les ingénieurs de Google ont effet mis moins de 10 heures pour combler cette faille, chose qui a pourtant nécessité plusieurs modifications du code du logiciel.

Google Chrome 22.0.1129.94 est d’ores et déjà accessible en versions Windows, OS X et Linux. Il va sans dire que l’application de cette mise à jour est vivement conseillée.

Voir aussi
Quiz Silicon.fr – Êtes-vous un champion du navigateur web Chrome ?

Lire aussi : Chromebook Plus : Google décline l’approche Intel Evo