Chrome : Google corrige une faille permettant de désactiver les extensions

01 juin 2018 à 15h36
0
Google a discrètement corrigé une faille relativement importante au sein de Chrome, laquelle permettait de passer outre les extensions en désactivant celles-ci.

La semaine dernière, deux vulnérabilités affectant plusieurs centaines de millions de smartphones avaient été repérées au sein du système Android. Cette fois, c'est au tour du cabinet Detectify Labs de partager ses découvertes concernant le navigateur Chrome.

Concrètement, le chercheur Mathias Karlsson explique avoir analysé le comportement des extensions de Google Chrome et affirme avoir réussi à trouver le moyen de toutes les désactiver sans aucune interaction nécessaire de la part de l'utilisateur.

A l'instar de Mozilla, Google déploie diverses mesures de sécurité permettant d'empêcher les éditeurs tiers d'installer leurs extensions sur Chrome à l'insu de l'internaute. Pour ce faire, depuis le mois de mai, la firme californienne bloque d'emblée tous les add-ons ne provenant pas du Chrome Store sur Windows et OS X.

08127786-photo-https-everywhere.jpg


Mais M. Karlsson s'est intéressé à un autre domaine : le blocage des extensions. Il explique qu'il suffisait de saisir l'URI de cette dernière pour automatiquement la désactiver. Dans le cas de HTTPS Everywhere, permettant de sécuriser les échanges en forçant le HTTPS, il fallait simplement se rendre sur chrome-extension://gcbommkclmclpchllfjekcdonpmejbdp/.

Après avoir testé de nombreuses manières d'activer ce type de lien, le chercheur explique que Chrome bloque systématiquement ce dernier... sauf dans un cas : lorsqu'il est envoyé via le système de notifications. Un hackeur pouvait tout bonnement reproduire ce code sur une page Web standard en saisissant : <a ping="chrome-extension://gcbommkclmclpchllfjekcdonpmejbdp/" id="link"></a><script>link.click()</script>

Depuis, Google a déployé un correctif au sein de la dernière version stable du navigateur.

A lire également :
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

HTC One A9 : le faux jumeau de l'iPhone 6
Le créateur du Bitcoin n’est finalement pas celui que l’on croyait
Black Friday : elle achète un iPhone 6 et se retrouve avec des patates
iPhone 6 : un prototype (?) en vente sur eBay pour 7 000 dollars
L'Ukraine dans le noir à cause d'un virus informatique ?
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
USB Type-C : tout savoir sur la nouvelle norme USB
De Facebook... à Sexebook, réseau social coquin ?
Haut de page