C’est peu commun, mais quand de tels événements se produisent, il est toujours amusant de constater à quel point des rivaux historiques parviennent à coopérer efficacement.
Si vous utilisez Google Chrome, peut-être avez-vous remarqué que votre navigateur avait reçu une petite mise à jour cette semaine. Plutôt discrète, l’update n’apporte pas de nouvelles fonctionnalités ni de modification d’interface, mais vient corriger deux failles de sécurité. La première atteint un de niveau de sévérité élevé. La seconde, plus sérieuse, est considérée comme critique. Et, comble de l’ironie, cette dernière a été repérée par les équipes de sécurité d’Apple, que la firme de Mountain View remercie chaleureusement.
Injections et exécutions de code arbitraire
Dans sa version 130.0.6723.91/.92 pour Windows et Mac, et 130.0.6723.91pour Linux, Chrome vient donc corriger deux vulnérabilités importantes. L’une d’entre elles, estampillée CVE-2024-10488, consiste en une faille de type « use after free » dans WebRTC, permettant à d’éventuels pirates d’exploiter une corruption de tas (segment de mémoire utilisé pour allouer dynamiquement de l’espace mémoire à la demande du logiciel) pour attaquer le navigateur et injecter du code malveillant.
L’autre, identifiée CVE-2024-10487, atteint un niveau de criticité autrement plus important puisqu’elle permet une écriture hors limites dans Dawn, implémentation open source WebGPU dans Chrome. En résumé, ce type de faille conduit le programme à écrire en dehors de la mémoire allouée, et ouvre des opportunités de plantage et d’exécution de code à distance pour les hackers.
Des concurrents dépendants de la bonne sécurité des uns et des autres
Mais là où les choses prennent une tournure inattendue, c’est dans l’attribution de la paternité de ces découvertes. Alors que la première vulnérabilité a été pointée par un ou une internaute lambda (Cassidy Kim, de son pseudo), la seconde a été relevée par Apple. Drôle de coup du sort quand on sait que l’entreprise a elle-même été prévenue d’une faille dans macOS par… Microsoft. Et ce, pas plus loin que la semaine dernière.
Si la situation peut prêter à sourire, elle n’en reste pas moins le témoin d’une entente forcée entre les géants du web. Qu’Apple pointe du doigt un problème de sécurité dans un navigateur concurrent n’est pas simplement une manière de tourner en dérision Google-la-grande-rivale, mais aussi une façon de veiller à la bonne sécurité de ses propres utilisateurs et utilisatrices. Car si Safari reste le navigateur le plus utilisé sur les environnements macOS, de nombreux internautes lui préfèrent encore et toujours Chrome.
Une interdépendance des écosystèmes que trahissaient de la même manière les recherches de Microsoft concernant la faille découverte dans macOS, puisque le contournement TCC et la manipulation des fichiers de configuration des permissions Safari qui en découlait pouvaient, là encore, compromettre la sécurité et la confidentialité d’utilisateurs et d’utilisatrices de services MS dans le cloud. La firme de Redmond avait d’ailleurs confirmé travailler aussi avec Mozilla et Google pour renforcer la sécurité générale de ces fichiers de configuration locaux.
Source : Google
