XMCO : Correction de plusieurs vulnérabilités au sein du navigateur Google Chrome
janvier 2009 par XMCO PARTNERS
Google plugs "high-risk" holes in Chrome browser
– Date : 30 Janvier 2009
– Plateforme : Windows
– Programme : Google Chrome
– Gravité : Elevée
– Dommages :
Vol de session
Vol d’informations
Contournement de sécurité
– Description :
Google vient de corriger plusieurs vulnérabilités au sein de son navigateur Google Chrome. Celles-ci permettaient à un pirate de mener des attaques de type "Cross Site Scripting" (XSS) ou d’obtenir des données confidentielles.
Une erreur dans le moteur JavaScript utilisé par le navigateur permettait de contourner les restrictions empêchant d’effectuer des requêtes sur un autre domaine que celui visité.
De plus, un script était en mesure de d’obtenir l’URL ou le contenu d’une page web chargée par une iframe, même si la page chargée provenait d’un site différent.
Enfin, en incitant un utilisateur à ouvrir un document "PDF" judicieusement conçu, un pirate pouvait envoyer des requêtes HTTP malicieuses sur un site arbitraire.
– Vulnérable :
* Google chrome
– Référence :
http://sites.google.com/a/chromium.org/dev/getting-involved/dev-channel/release-notes
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0048
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0045
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0276
– Correction :
Nous vous recommandons d’installer la version 1.0.154.46 du navigateur Google Chrome.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1233324892