🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Une faille de sécurité dans les extensions de Chrome

01 juin 2018 à 15h36
0
00C8000001798428-photo-google-chrome-logo.jpg
Ce weekend, le développeur Andreas Grech, a découvert une faille de sécurité au sein du gestionnaire des extensions Google Chrome. Rappelons que les extensions du navigateur sont codées en HTML et Javascript et autorisent également la manipulation de DOM. C'est d'ailleurs bien l'autorisation de l'Ajax, utilisé pour accéder ou mettre à jour du contenu, qui pose problème.

Sur son blog personnel, M. Grech affirme ainsi qu'il a trouvé le moyen de lire les champs de texte, y compris les identifiants et les mots de passe associés à certains sites Internet. Le jeune hacker a mis au point une extension basée sur la bibliothèque JQuery capable d'opérer cette lecture puis d'envoyer un email via une requête Ajax contenant les identifiants de la victime ainsi que l'URL de connexion. Parmi les sites testés notons Gmail, Facebook ou encore Twitter.

Dans la mesure où il s'agit bien d'Ajax, la procédure de piratage est alors transparente pour l'internaute. Une démonstration complète ainsi que le code de cette extension ont été publiés sur son site. En espérant que Google corrige la faille rapidement... Au mois de mars dernier Chrome était cependant le seul navigateur à avoir resisté aux attaques des hackers lors du concours Pwn2Own Contest. Au premier jour, les experts en sécurité informatique avaient été découragés en avouant qu'il s'agissait-là d'une tentative trop compliquée...
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Le créateur du Bitcoin n’est finalement pas celui que l’on croyait
On Refait le Mac : premières impressions sur l'iPhone 6
Infos US de la nuit : incertitudes sur la date de lancement de l'iPhone 6
Black Friday : elle achète un iPhone 6 et se retrouve avec des patates
Le portage de Chromium OS débute pour le Raspberry Pi
Alimentation de 850 W pour le multi-GPU chez Corsair
De Facebook... à Sexebook, réseau social coquin ?
Bonne et heureuse année 2009 à tous !
Platine Kiss DivX Ethernet disponible en France
Ogg Vorbis & Xvid pour la platine DivX de Kiss
Haut de page