Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Des failles dans WebKit nécessitent des mises à jour pour Chrome et Safari

Edition du 14/03/2011 - par Jacques Cheminat avec IDG News Service

Si Chrome n’a pas été craqué au Pwn2Own, concours organisé lors d’une conférence sur la sécurité au Canada, le navigateur utilise le moteur de navigation Open Source WebKit, qui lui doit être patché. Cela concerne aussi Safari d’Apple.

La semaine dernière, Vincenzo Iozzo, Willem Pinckaers et Ralf-Philipp Weinmann ont remporté 15 000 dollars en réussissant à pirater le BlackBerry Torch de RIM via une faille dans le WebKit du navigateur du terminal. Le même jour, Dion Blazakis et le quadruple vainqueur Charlie Miller ont utilisé une autre vulnérabilité dans WebKit pour craquer Safari sur l’iPhone 4.

Selon Google, le bug exploité par les trois chercheurs a été une « corruption de la mémoire dans le gestionnaire de style ». L’éditeur a évalué cette menace comme « élevée » pour les utilisateurs. Conformément à la pratique de la firme de Moutain View, elle a verrouillé l’accès à ses traceurs de bugs qui permettent de visualiser les détails techniques de la vulnérabilité juste corrigée. Google a également décerné à ces spécialistes la prime de 1 337 dollars de son programme de recherche de bug, Bounty. Cela s’ajoute aux gains perçus lors du concours Pwn2Own.

Apple, qui aura besoin aussi de patcher le même bug, ainsi que celui qui a été découvert par Dion Blazakis et Charlie Miller, ne se prononce pas sur la mise à jour de sécurité.

Chrome et Firefox, non vulnérables

Ni Chrome, ni Firefox de Mozilla n’ont été craqués la semaine dernière lors de ce concours la semaine dernière. Les chercheurs qui s’étaient inscrits sur ces deux navigateurs ne sont pas présentés ou se sont retirés parce qu’ils n’avaient pas réussi à trouver des failles de sécurité.

Les responsables de Mozilla et Google ont vanté les techniques des navigateurs rescapés. « Ouf, Firefox survécu # Pwn2Own 2011. Ce n’est pas un laurier que nous nous adressons, mais c’est une bonne nouvelle », a déclaré Brendan Eich, directeur technique de Mozilla, dans un tweet la semaine dernière. « Félicitations aussi à Chrome le survivant ». « Les deux navigateurs survivant : Open Source, ont des programmes de primes, ont mieux intégré les équipes de sécurité, corrigent les erreurs plus rapidement. Coïncidence ? » a tweeté Chris Evans, un ingénieur de l’équipe de sécurité Chrome.

Les smartphones fonctionnant sous Google Android et Microsoft Windows Phone 7 sont également sortis indemnes du concours.

Illustration : Les trois chercheurs qui ont réussi à craquer le Blackberry Torch

Crédit Photo : D.R

Source :lemondeinformatique