Onze vulnérabilités affectant le navigateur Chrome ont été corrigées hier, parmi lesquelles, en particulier, un bug que Google avait estimé « critique ». Dans cette catégorie, c'est le sixième bug corrigé par la société californienne depuis le début de l'année. Et c'est la deuxième fois ce mois-ci qu'elle met à jour son logiciel pour cause de failles. Parmi les dix autres bugs corrigés, la dangerosité de neuf autres avait été estimée « haute » et celle du dernier, « moyenne ».

Le bug critique a été signalé par Michael Braithwaite, un ingénieur logiciel senior, de Turbulenz Limited, une plateforme britannique de développement de jeux en ligne. Google l'a identifié comme une corruption de mémoire dans la manipulation de vertex, code ajoutant des effets spéciaux tels que des textures 3D. Ce bug n'affecte que la version Windows de Chrome.

Quatre bugs de type « use after free »

Le correctif livré hier intervient par ailleurs sur quatre vulnérabilités de type « use after free » (liées à un problème de réutilisation d'une portion de la mémoire) qui peuvent être exploitées pour l'insertion d'un code d'attaque. Comme il le fait toujours, Google a verrouillé la base de données relative aux bugs  repérés pour ne pas laisser filtrer des détails sur les onze failles en question. L'accès public à la base est coupé afin de donner aux utilisateurs le temps de mettre leur navigateur à jour. Il arrive que cet accès reste fermé plusieurs mois de suite.

120 000 dollars versés depuis le début de l'année

Google a versé 8 337 dollars de récompense à sept chercheurs lui ayant communiqué huit vulnérabilités parmi celles corrigées cette fois-ci. Cette somme inclut les 1 337 dollars octroyés à Michael Braithwaite pour le bug critique et 2 500 dollars à Sergey Glazunov, un contributeur régulier, pour les deux failles à risque élévé (high). Le montant déboursé cette fois-ci est moitié moins élevé que les 17 000 dollars que Google a payé au début de ce mois. Depuis le début de l'année, la société a accordé un peu plus de 120 000 dollars à des chercheurs externes.

Parmi les trois failles restantes, deux ont été découvertes par un membre de l'équipe de sécurité de Chrome. Contrairement à d'autres éditeurs, parmi lesquels Adobe et Microsoft, Google communique sur les failles trouvées par ses propres équipes. Le dernier bug a été trouvé par l'intermédiaire de la Zero Day Initiative (ZDI), un programme de récompense géré par HP TippingPoint. Ni Google, ni Mozilla (l'autre éditeur de navigateur ayant un programme équivalent), n'ont versé de récompense pour les bugs communiqués par un circuit intermédiaire tel que ZDI. La version corrigée de Chrome peut être téléchargée pour Windows, Mac OS X et Linux depuis le site de Google. Les internautes qui utilisent déjà le navigateur bénéficieront d'une mise à jour automatique.

(crédit illustration : Google)