Chrome : Google corrige une faille permettant de désactiver les extensions

Guillaume Belfiore
Lead Software Chronicler
03 août 2015 à 11h24
0
Google a discrètement corrigé une faille relativement importante au sein de Chrome, laquelle permettait de passer outre les extensions en désactivant celles-ci.

La semaine dernière, deux vulnérabilités affectant plusieurs centaines de millions de smartphones avaient été repérées au sein du système Android. Cette fois, c'est au tour du cabinet Detectify Labs de partager ses découvertes concernant le navigateur Chrome.

Concrètement, le chercheur Mathias Karlsson explique avoir analysé le comportement des extensions de Google Chrome et affirme avoir réussi à trouver le moyen de toutes les désactiver sans aucune interaction nécessaire de la part de l'utilisateur.

A l'instar de Mozilla, Google déploie diverses mesures de sécurité permettant d'empêcher les éditeurs tiers d'installer leurs extensions sur Chrome à l'insu de l'internaute. Pour ce faire, depuis le mois de mai, la firme californienne bloque d'emblée tous les add-ons ne provenant pas du Chrome Store sur Windows et OS X.

08127786-photo-https-everywhere.jpg


Mais M. Karlsson s'est intéressé à un autre domaine : le blocage des extensions. Il explique qu'il suffisait de saisir l'URI de cette dernière pour automatiquement la désactiver. Dans le cas de HTTPS Everywhere, permettant de sécuriser les échanges en forçant le HTTPS, il fallait simplement se rendre sur chrome-extension://gcbommkclmclpchllfjekcdonpmejbdp/.

Après avoir testé de nombreuses manières d'activer ce type de lien, le chercheur explique que Chrome bloque systématiquement ce dernier... sauf dans un cas : lorsqu'il est envoyé via le système de notifications. Un hackeur pouvait tout bonnement reproduire ce code sur une page Web standard en saisissant : <a ping="chrome-extension://gcbommkclmclpchllfjekcdonpmejbdp/" id="link"></a><script>link.click()</script>

Depuis, Google a déployé un correctif au sein de la dernière version stable du navigateur.

A lire également :

Guillaume Belfiore

Lead Software Chronicler

Lead Software Chronicler

Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic. Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles...

Lire d'autres articles

Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic. Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles des navigateurs web, aux nouveaux smartphones mais aussi aux systèmes d'exploitation, aux questions de sécurité ou à l'actualité e-business en général. Sinon je dois avouer que j'ai un faible pour tout ce qui touche au web design et c'est généralement le code source d'une page web que je lis en premier.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page