Google corrige 15 bugs avec Chrome 12

Mise à jour mardi, la dernière version du navigateur Chrome de Google avertit désormais les utilisateurs quand ils téléchargent des fichiers de sites considérés comme dangereux. La nouvelle version subit également 15 correctifs. Google a payé près 10 000 dollars en primes pour ces vulnérabilités signalées par des chercheurs extérieurs à l'entreprise.

Les fichiers douteux provenant du web sont désormais signalés par un drapeau. Chrome 12 affiche en effet une alerte lorsque les utilisateurs téléchargent certains types de fichiers depuis des sites inscrits dans la liste noire de l'API (Application Programming Interface) de navigation sécurisée tenue à jour par Google. Une annonce - « Ce fichier est malveillant. Êtes-vous sûr de vouloir continuer ? » - apparaît. Mais, s'ils le souhaitent, les utilisateurs peuvent ignorer l'avertissement et enregistrer le fichier sur le disque dur de leur ordinateur. « Cette alerte s'affiche à chaque fois que l'URL du site de téléchargement correspond à l'un de ceux figurant dans la dernière liste des sites web malveillants contenus dans l'API Safe Browsing, » a déclaré Google en avril dernier au moment de l'apparition de cette fonction dans une édition précédente de Chrome.

La navigation sécurisée identifie déjà les sites suspects ou dangereux, et les ajoute au fur et à mesure à une liste noire. Chrome, Firefox de Mozilla et Safari d'Apple puisent tous dans cette API Safe Browsing pour avertir les utilisateurs sur d'éventuels sites à risque avant de les connecter. En signalant aussi les téléchargements qui émaneraient de sites douteux, Google élargit l'utilisation de la navigation sécurisée, enjambant le pas à Microsoft qui a introduit depuis la mi-mars une fonction appelée «SmartScreen Application réputation » dans Internet Explorer 9 (IE9) et chargée d'évaluer si le logiciel téléchargé est légitime ou non. Les fichiers suspects déclenchent une alerte dans le cas où les utilisateurs essayent de les ouvrir ou de les enregistrer sur leur disque.

Des outils de sécurité devenus indispensables

Ces outils dans IE9 et Chrome ont été salués par les chercheurs en sécurité, car les pirates ne comptent pas uniquement sur les failles pour introduire des logiciels malveillants sur les ordinateurs de leurs victimes. Ils tentent souvent aussi de tromper les utilisateurs pour faire ce travail à leur place. Les faux antivirus, appelés «scarewares», en sont un bon exemple. Des sites malveillants font croire aux visiteurs que leurs ordinateurs sont infectés, et leur proposent de télécharger des logiciels de sécurité bidons, soi-disant capables de les débarrasser de tout virus. Le mois dernier, certains utilisateurs Mac ont pu voir de prés ces scarewares, quand un gang, réputé pour ses actions menées contre Windows, a lancé une campagne agressive pour vendre et diffuser un faux logiciel antivirus (MacDefender, MacGuard...) pour Mac.

[[page]]

Parmi les améliorations de Chrome 12, signalons l'accélération matérielle graphique 3D dans Windows Vista, Windows 7 et Mac OS X. Le navigateur prend également en charge les nouveaux paramètres de Flash d'Adobe qui permettent aux utilisateurs de décider s'ils acceptent d'être « espionnés » par des cookies Flash, également appelés « Objets stockés en Local » (LOB). Les utilisateurs peuvent maintenant supprimer les cookies Flash en même temps qu'ils effacent d'autres données du navigateur, en cochant une option dans le panneau de préférences de Chrome (le réglage se trouve dans Options avancées/ Confidentialité/ Effacer les données de navigation : cochez Supprimer les cookies et autres données de site. Un lien permet d'accéder aux paramètres d'enregistrement des sites web dans le Player d'Adobe). IE9 et Firefox offrent déjà la possibilité de supprimer les « Objets stockés en Local » par Flash 10.3, mais les utilisateurs de Safari d'Apple devront attendre la version 5.1 du navigateur qui sera livrée le mois prochain avec Mac OS X 10.7, alias Lion.

15 bugs corrigés dans Chrome 12

La mise à jour de mardi a également corrigé 15 vulnérabilités dans Chrome. 6 sont qualifiées d'« élevées », soit au second rang en terme de gravité dans l'échelle de risques de Google, 6 sont désignées comme « moyennes », et 3 sont classées « faibles ». Aucune de ces vulnérabilités n'est considérée comme « critique », une catégorie réservée aux bugs qui permettraient à un pirate d'échapper à la sandbox anti-exploit de Chrome. Google a corrigé plusieurs bugs critiques cette année, dont 2 en avril. 4 des 15 vulnérabilités ont été identifiées comme «use-after-free » pour qualifier une faille dans la gestion de la mémoire pouvant être exploitée pour injecter du code d'attaque.

Deux autres failles sont dites « de contournement», c'est-à-dire qu'elles pourraient être utilisées pour voler des informations sensibles contenues dans des sites légitimes ouverts dans le navigateur, mais qui incitent en même temps les utilisateurs à visiter une URL malveillante. Comme il le fait toujours, Google a verrouillé la base de données de suivi de bogues dans Chrome pour empêcher les pirates de trouver des informations sur les vulnérabilités corrigées. L'éditeur empêche le public d'avoir accès à la base de données pour laisser le temps aux utilisateurs de faire les mises à jour, et attend parfois des mois avant de retirer les blocs. Par exemple, aucune description des 27 bugs corrigés par Google fin avril n'est encore accessible au public.

Près de 10 000 dollars distribués en primes

Le géant de l'Internet a versé à 9 870 dollars en primes à cinq chercheurs pour avoir identifié 8 vulnérabilités, dans lesquelles figurent les 4 633 dollars de Sergey Glazounov, un contributeur régulier. Un autre chercheur, identifié seulement par le pseudonyme de « miaubiz » a remporté 3 000 dollars pour ses découvertes. Sergey Glazounov avait déjà reçu une prime de 3 133 dollars de la part de Google pour avoir décelé qu'un bug, associé à plusieurs vulnérabilités en apparence sans danger, pouvait devenir « critique. » En janvier, il était le premier chercheur extérieur à Google à avoir ramassé la plus grosse prime. Jusqu'à présent, Google a dépensé plus de 88 000 dollars en primes pour des bugs. C'est le seul éditeur, avec Mozilla, à rémunérer des chercheurs en sécurité indépendants pour l'identification de vulnérabilités.

Chrome 12 pour Windows, Mac OS X et Linux peut être téléchargé à partir du site web de Google. Pour les utilisateurs disposant déjà du navigateur, celui-ci se met à jour automatiquement.