C'est la seconde mise à jour de sécurité de la version build « stable »  de Chrome - la version la plus aboutie du navigateur - que Google livre ce mois-ci. Cette fois-ci, l'éditeur a corrigé quatre vulnérabilités, dont deux qualifiées de «critiques » (créditées aux ingénieurs en sécurité de Google). La catégorie « critique » est habituellement réservée aux failles qui pourraient permettre à un pirate de contourner la sandbox de Chrome. Les deux autres bugs corrigés par cette mise à jour ont été qualifiés de « sérieux ». Ils avaient permis au chercheur qui les a découverts de remporter une prime de 1 000 dollars. Quant à la dernière vulnérabilité, elle a été qualifiée de « légère » dans le système de notation à quatre niveaux de Google appliqué aux menaces. Depuis le début de l'année, Google a corrigé 5 bogues critiques.

Certaines failles toujours exploitables

Google a refusé de confirmer que les deux bugs les plus graves auraient pu être utilisés par des attaquants pour échapper à la sandbox de Chrome, et donc pour introduire du code malveillant sur un ordinateur. Mais, selon l'entreprise française de sécurité Vupen, l'hypothèse est probable. « Les vulnérabilités corrigées aujourd'hui et liées à la GPU et à la gestion d'objets binaires de base (blob) sont typiques des vulnérabilités critiques susceptibles d'affecter Chrome et d'être exploitées pour exécuter du code arbitraire en dehors du « bac à sable », a déclaré Chaouki Bekar, PDG et directeur de recherche de Vupen, en réponse à un e-mail de nos confrères de Computerworld. La ou les bogues, identifiées début mai par les chercheurs de la société, qui ont trouvé aussi comment en tirer parti, n'ont toujours pas été corrigées, a t-il ajouté. « Les récentes failles que nous avons découvert dans Chrome, y compris celle permettant l'évitement de la sandbox, n'ont pas été corrigées et notre code pour les exploiter fonctionne aussi avec la version 11.0.696.71 », a t-il affirmé.

La SandBox de Chrome résiste bien aux attaques

Ces vulnérabilités avaient attiré l'attention plus tôt ce mois-ci, quand Vupen avait déclaré avoir réussi à pirater Chrome, non seulement en contournant la sandbox intégrée au navigateur, mais aussi en échappant aux technologies « anti-exploit » de Windows 7. Pendant plusieurs jours, des ingénieurs de Google ont nié que les failles exploitées par Vupen se trouvaient dans Chrome lui-même. Selon eux, la société de sécurité avait utilisé une faille dans Flash d'Adobe, livré en bundle avec Chrome, pour faire levier. Chrome s'est avéré très résistant aux attaques, notamment grâce à sa technologie SandBox, qui a justement pour effet d'isoler le navigateur du reste de la machine, afin d'empêcher l'exécution de code malveillant sur un ordinateur. Notamment, Chrome est sorti indemne des trois derniers concours de hacking Pwn2Own, le défi annuel organisé par CanSecWest à Vancouver, Colombie-Britannique, et parrainé par le programme mondial de collecte d'erreurs HP TippingPoint. Aucun autre navigateur défié au concours Pwn2Own n'a encore égalé Chrome.

Vupen ne communique plus ses découvertes

Mardi, le porte-parole de Google, Jay Nancarrow, a refusé de s'étendre davantage sur les affirmations de Vupen portant sur la possible exploitation des failles, et il a renvoyé à ses déclarations précédentes. A l'époque, il avait indiqué que Google n'avait pas pu enquêter sur les bogues identifiés par Vupen parce que la société de sécurité ne partageait pas ses découvertes sur les failles. Depuis l'an dernier, sa politique en matière de divulgation des vulnérabilités a changé. Vupen ne communique plus les bogues aux vendeurs - comme le font de nombreux chercheurs - mais uniquement à des clients payants.

Selon la société Net Applications, qui mesure tous les mois l'usage des navigateurs sur Internet, en avril, le navigateur de Google totalisait 11,9% de tous les navigateurs, ce qui le plaçait en troisième position derrière Internet Explorer de Microsoft, avec 55,1%, et Firefox de Mozilla, avec 21,6%.

Chrome 11 pour Windows, Mac OS X et Linux, peut être téléchargé à partir du site Web de Google. Pour ceux qui utilisent déjà Chrome, le navigateur est mis à jour automatiquement.