La version 80 de Chrome est en ligne, et il est impératif de l’installer puisqu’elle corrige trois failles de sécurité, dont une déjà exploitée par des pirates. Cette mise à jour critique concerne les utilisateurs de Chrome sous Windows, Mac et Linux.
64 % dans le monde, et 57 % en France : c’est la part de marché de Chrome, et forcément, comme tout bon logiciel populaire, le numéro 1 des navigateurs est la cible des pirates. Surtout lorsqu’il intègre trois failles…
C’est ce qu’a découvert Google le 18 février dernier : trois vulnérabilités, dont une de type zero-day, qui était déjà exploitée par des pirates. L’éditeur de Chrome n’a pas donné plus de détails sur l’exploitation en cours de la faille, ni si des utilisateurs avaient été touchés. En revanche, on sait qu’elle était liée à V8, le composant de Chrome chargé du traitement du code JavaScript. Un bug entre la demande d’une application et son exécution dans le navigateur, et c’est une brèche pour un pirate pour exécuter du code à distance.
Windows, Mac et Linux concernés
C’est la 3e faille de ce type en un an, et les deux autres sont aussi considérées comme dangereuses puisque Google leur applique le statut « élevé ». L’une concerne la mémoire cache intégrée (Integer overflow in ICU) et la personne qui l’a découverte a empoché une belle récompense de 5.000 dollars. L’autre porte sur l’accès à la mémoire (Out of bounds memory access in streams).
Publicité
Une semaine après leur découverte, Google vient donc de mettre en ligne une mise à jour. Il s’agit de la version 80.0.3987.1xx, et elle est disponible pour Windows, Mac, Linux, mais elle ne concerne pas Chrome OS, iOS et Android. Il est vivement conseillé de l’installer. Si vous avez réglé les mises à jour automatiques, ce sera effectué au prochain redémarrage du navigateur. Si non, il faut cliquer sur Aide, puis sur À propos de Google Chrome. La mise à jour se lance alors, et il faut ensuite cliquer sur Relancer pour que ce soit effectif.
Google Chrome corrige la faille du « curseur maléfique »
« Evil cursor »… Derrière ce terme, se cache une technique des pirates pour vous empêcher de fermer une fenêtre, et vous obliger à ouvrir des sites vérolés. Chrome est victime de ce bug.
Publié le 29/03/19 par Fabrice Auclert
Google vient de corriger une faille dans son navigateur Chrome qui était exploitée par les arnaques au faux support technique. Une simple page qui utilise un pointeur personnalisé suffit à donner l’impression que le navigateur est bloqué. L’utilisateur est alors incité à appeler un numéro d’un faux support technique qui va chercher à prendre la main sur l’ordinateur.
La faille a été signalée par Jérôme Segura, un analyste chez l’éditeur de logiciels de sécurité Malwarebytes, dès septembre 2018. Elle a été baptisée « Evil cursor », ou le pointeur maléfique. Elle fait partie d’un ensemble de techniques utilisées par un groupe surnommé Partnerstroka par les chercheurs, l’un des plus actifs dans le domaine des arnaques au faux support technique.
Le correctif ne sera pas publié tout de suite
L’astuce consiste à remplacer l’image du pointeur par une image plus grande, contenant une fausse image du pointeur dans la partie supérieure et le reste en transparence. Le point utilisé pour les clics se trouve en réalité en bas de ce carré invisible, très éloigné de la fausse image du pointeur vue par l’utilisateur. Lorsqu’il tente de fermer la fenêtre ou l’onglet en cliquant sur les boutons du navigateur, le clic est pris en compte plus bas, donnant l’impression que Chrome est bloqué.
Publicité
Google a corrigé cette faille dans Chrome Canary, une version expérimentale du navigateur réservée aux développeurs. Il faudra ensuite attendre que le code soit intégré dans une version bêta avant d’arriver à la version grand public. En attendant, les victimes de cette faille peuvent appuyer simultanément sur les touches Ctrl et F4 sur Windows, ou Commande et W sur Mac, pour fermer l’onglet en cours.