Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Google livre Chrome 16 et corrige 15 vulnérabilités

Edition du 16/12/2011

Google Chrome 16 a patché son lot de vulnérabilités de sécurité, soit une quinzaine au total. Cette version du navigateur propose la gestion multi-comptes et permet de synchroniser sur un même appareil signets, mots de passe et extensions.

Google a corrigé 15 vulnérabilités dans Chrome, et a versé 6 000 $ de primes aux chasseurs de bogues qui avaient trouvé certaines d’entre elles. La firme de Moutain View a également mis à jour la version 16 de son navigateur. La seule caractéristique apportée à cette remise à niveau est la synchronisation multi-utilisateurs des signets, mots de passe et extensions. La dernière actualisation de Chrome a eu lieu il y a moins de deux mois. Google procède à une mise à jour stable de son navigateur environ toutes les six à huit semaines, un calendrier un peu plus souple que son concurrent Mozilla qui procède à une update toutes les six semaines

Six des 15 vulnérabilités corrigées mardi ont été jugées élevées, ce qui constitue le second classement le plus grave concernant Chrome, tandis que sept ont été étiquetées « moyennes » et que deux autres ont été taxées de « faibles ».

180 000 dollars de primes versées à l’extérieur

Google s’est acquitté de 6 000 $ de primes, soit moins d’un quart de ce que l’éditeur avait versé, en octobre dernier, à cinq chercheurs qui lui avaient signalé sept bogues. Les huit autres vulnérabilités ont été découvertes par la propre équipe de sécurité de l’éditeur, des développeurs qui contribuent au projet Open Source Chrome.

Cette année, 180 000 dollars de primes ont été allouées par Google à des chercheurs extérieurs. Plusieurs des bogues - dont deux ont été attribuée au chercheur indépendant Arthur Gerkis qui a obtenu 2 000 $ pour son travail - ont été trouvées en utilisant l’outil de détection d’erreurs de mémoire AddressSanitizer. Sorti en juin 2011, ce logiciel peut détecter une large variété d’erreurs, y compris les "use-after-free", bugs affectant la gestion de la mémoire, comme ceux signalés par Arthur Gerkis.

Quatre des défauts étaient liés à l’analyse de documents PDF - le navigateur comprenant une visionneuse PDF intégrée éliminant ainsi le besoin de lancer l’application Adobe Reader - tandis que deux autres ont été trouvés dans le traitement vectoriel des images.

Synchroniser séparément signets et mots de passe

Comme d’habitude, Google bloque l’accès à sa base consignant le suivi des vulnérabilités pour les quinze failles avant d’empêcher que des personnes extérieures récupèrent des détails sur la façon dont elles pourraient être exploitées.

Le Californien ouvre généralement la base de données des semaines voire des mois plus tard, après s’être assuré qu’une majorité des utilisateurs aient mis leur navigateur à niveau via son processus de mise à jour automatique. Google inclut habituellement quelques petits changements évidents dans chaque mise à jour Chrome, et a tenu à appliquer cette pratique, hier. La fonction exclusive qu’il vante réside dans la possibilité d’ajouter des utilisateurs supplémentaires dans son navigateur, de sorte que plusieurs personnes peuvent l’utiliser sur un Mac ou un PC partagé, mais garder leur contenu synchronisé - signets, mots de passe, applications- et plus encore séparé.

La synchronisation multi-utilisateurs a démarré au début du mois de novembre dans une version bêta de Chrome 16. La dernière version permet désormais de synchroniser séparément les signets et mots de passe pour des personnes qui partagent un même ordinateur.

Selon la société de mesures StatCounter Chrome représentait près de 26% de tous les navigateurs utilisés le mois dernier, assez pour devancer Firefox et prendre la deuxième place derrière Internet Explorer (IE). De son côté, Net Applications indiquait que Chrome se situait derrière Firefox, mais les projections basées sur ces données ont indiqué que le navigateur de Google allait supplanter Mozilla au plus tard en mai 2012.

Chrome 16 peut être téléchargé pour Windows, Mac OS X et Linux à partir du site web de Google. Les utilisateurs qui s’appuient actuellement sur ce navigateur bénéficieront d’une mise à jour automatique.

Article de Véronique Arène avec IDG NS

source : lemondeinformatique.fr