Google a discrètement corrigé une faille relativement importante au sein de Chrome, laquelle permettait de passer outre les extensions en désactivant celles-ci.
La semaine dernière, deux vulnérabilités affectant plusieurs centaines de millions de smartphones avaient été repérées au sein du système Android. Cette fois, c'est au tour du cabinet Detectify Labs de partager ses découvertes concernant le navigateur Chrome.
Concrètement, le chercheur Mathias Karlsson explique avoir analysé le comportement des extensions de Google Chrome et affirme avoir réussi à trouver le moyen de toutes les désactiver sans aucune interaction nécessaire de la part de l'utilisateur.
A l'instar de Mozilla, Google déploie diverses mesures de sécurité permettant d'empêcher les éditeurs tiers d'installer leurs extensions sur Chrome à l'insu de l'internaute. Pour ce faire, depuis le mois de mai, la firme californienne bloque d'emblée tous les add-ons ne provenant pas du Chrome Store sur Windows et OS X.
Mais M. Karlsson s'est intéressé à un autre domaine : le blocage des extensions. Il explique qu'il suffisait de saisir l'URI de cette dernière pour automatiquement la désactiver. Dans le cas de HTTPS Everywhere, permettant de sécuriser les échanges en forçant le HTTPS, il fallait simplement se rendre sur chrome-extension://gcbommkclmclpchllfjekcdonpmejbdp/.
Après avoir testé de nombreuses manières d'activer ce type de lien, le chercheur explique que Chrome bloque systématiquement ce dernier... sauf dans un cas : lorsqu'il est envoyé via le système de notifications. Un hackeur pouvait tout bonnement reproduire ce code sur une page Web standard en saisissant : <a ping="chrome-extension://gcbommkclmclpchllfjekcdonpmejbdp/" id="link"></a><script>link.click()</script>
Depuis, Google a déployé un correctif au sein de la dernière version stable du navigateur.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.
