Google a patché cette semaine dix vulnérabilités de Chrome, et notamment une spécifiquement pour les Mac. Cela fait grimper le nombre de bugs fixés en septembre à 26. Sur les dix corrigés cette fois-ci, un était donc estimé « critique », avertissement maximum du système d'évaluation des menaces de Google, qui dispose de quatre niveaux de priorité. Six étaient « hautes » priorité, degré suivant, et trois étaient seulement marquées comme « basses ». Le géant d'Internet a versé au total 4000 dollars de primes à quatre chercheurs indépendant pour les six bugs qu'ils ont découvert.

Aucun détail n'est encore disponible sur la nature de ces vulnérabilités, puisque la politique de Google est de verrouiller les entrées de sa base de données des bugs traqués une fois ceux-ci corrigés. Ces entrées sont en général réouvertes quelques semaines après qu'un patch ait été distribué, laissant aux utilisateurs le temps de mettre à jour leur navigateur avant que la faille ne soit rendue publique. La vulnérabilité critique ne concernait que les Mac, mais elle était en réalité conséquence directe d'un précédent bug. Deux autres, de priorité basse, s'adressaient uniquement aux systèmes sous Linux. Parmi les autres, l'un d'entre eux concernait des problèmes avec l'analyse d'éléments SVG (scalable vector graphics) intégrés aux sites web, et un autre portait sur une corruption de mémoire dans l'API de géolocalisation de Chrome, activée en mai.

Des primes motivantes

Même si Google a augmenté en juillet la prime maximale attribuée pour rapporter les vulnérabilités à 3133,70 dollars, l'entreprise n'a pas encore, pour le moment, versé cette somme à un seul et unique chercheur. Jusqu'à présent, pour le mois de septembre, 8337 dollars de ces primes ont été versées. Faire la chasse aux bugs de Chrome peut en effet être extrêmement rentable. Un chercheur, connu sous le pseudonyme « kuzzcc », a gagné 3000 dollars ce mois-ci, et 5000 sur les quatre dernières semaines. Un autre, Sergey Glazunov, a été payé 6274 dollars sur la même période pour avoir rapporté six failles.

Google tient donc ses promesses, ayant augmenté, comme prévu, le rythme de sortie des mises à jours de Chrome. La version 6 avait été mise à disposition à l'occasion du deuxième anniversaire du navigateur, il y a deux semaines. Chaque version future devrait sortir toutes les six semaines, sauf faille de sécurité majeure. Brian Rakowski, chef de produit pour Chrome, estime que la version 7, qui intègrera l'accélération du rendu visuel par carte graphique sous Windows, devrait sortir dans les deux prochains mois.