Quelques jours après la mise en ligne de la version stable de Chrome 81, Google annonce qu'elle comprend une faille critique, et qu'un correctif est en ligne. Les possesseurs de Chrome 80 sont invités à mettre à jour leur navigateur mais... la mise à jour n'est pas encore déployée partout.


au sommaire


    Lancé il y a six jours en version stable, le navigateur Chrome 81 est en cours de déploiement et n'est pas encore forcément installé sur la totalité des ordinateurs (Mac, Windows et LinuxLinux). Mais GoogleGoogle a publié vendredi une alerte de sécurité pour forcer l'installation de cette dernière version.

    Le message posté par Google est des plus mystérieux et succincts : « Cette mise à jour comprend un correctif de sécurité [critique]. » Et quand on accède aux détails de la faille, pas grand-chose à se mettre sous la dent puisque Google explique que « l'accès aux détails des bugsbugs et aux liens peut être restreint jusqu'à ce que la majorité des utilisateurs aient mis à jour la version avec le correctif. » Tout juste peut-on lire que c'est lié à la reconnaissance vocale.

    Les nouveautés de Chrome 81 en vidéo. © Google

    Une mise à jour en cours

    Ce qui est certain, c'est qu'il est donc recommandé de mettre à jour Chrome, et de passer de la version 80 à la 81.0.4044.113. C'est la seule qui intègre le correctif de cette faille, et pour cela, il faut cliquer sur Aide, puis A propos de Google chrome. C'est là que la mise à jour sera téléchargée puis installée. Le problème, c'est que la mise à jour n'est qu'en phase de déploiement, et n'est pas encore forcément disponible...

    Quoi qu'il en soit, Chrome 81 est la toute dernière version du navigateur de Google, et il intègre plusieurs nouveautés comme l'intégration de la technologie NFC directement dans les sites web ou l'ajout d'un badge de notifications pour les webapps. Rappelons qu'en raison de la crise du coronaviruscoronavirus, Google a annulé le développement de Chrome 82, et la prochaine mise à jour sera la 83. Elle arrivera dans un mois.


    Pour éviter tout piratage, mettez vite à jour Chrome !

    La version 80 de Chrome est en ligne, et il est impératif de l'installer puisqu'elle corrige trois failles de sécurité, dont une déjà exploitée par des pirates. Cette mise à jour critique concerne les utilisateurs de Chrome sous Windows, Mac et Linux.

    Publié le 26/02/20 par Fabrice Auclert

    64 % dans le monde, et 57 % en France : c'est la part de marché de Chrome, et forcément, comme tout bon logiciel populaire, le numéro 1 des navigateurs est la cible des pirates. Surtout lorsqu'il intègre trois failles...

    C'est ce qu'a découvert Google le 18 février dernier : trois vulnérabilités, dont une de type zero-dayzero-day, qui était déjà exploitée par des pirates. L'éditeur de Chrome n'a pas donné plus de détails sur l'exploitation en cours de la faille, ni si des utilisateurs avaient été touchés. En revanche, on sait qu'elle était liée à V8, le composant de Chrome chargé du traitement du code JavaScript. Un bug entre la demande d'une applicationapplication et son exécution dans le navigateur, et c'est une brèche pour un pirate pour exécuter du code à distance.

    En cliquant sur À propos de Chrome, vérifiez que vous possédez bien la version 80. © Futura
    En cliquant sur À propos de Chrome, vérifiez que vous possédez bien la version 80. © Futura

    Windows, Mac et Linux concernés

    C'est la 3e faille de ce type en un an, et les deux autres sont aussi considérées comme dangereuses puisque Google leur applique le statut « élevé ». L'une concerne la mémoire cachemémoire cache intégrée (Integer overflow in ICU) et la personne qui l'a découverte a empoché une belle récompense de 5.000 dollars. L'autre porteporte sur l'accès à la mémoire (Out of bounds memory access in streams).

    Une semaine après leur découverte, Google vient donc de mettre en ligne une mise à jour. Il s'agit de la version 80.0.3987.1xx, et elle est disponible pour Windows, Mac, Linux, mais elle ne concerne pas Chrome OSChrome OSiOSiOS et AndroidAndroid. Il est vivement conseillé de l'installer. Si vous avez réglé les mises à jour automatiques, ce sera effectué au prochain redémarrage du navigateur. Si non, il faut cliquer sur Aide, puis sur À propos de Google Chrome. La mise à jour se lance alors, et il faut ensuite cliquer sur Relancer pour que ce soit effectif.


    Google Chrome corrige la faille du « curseur maléfique »

    « Evil cursor »... Derrière ce terme, se cache une technique des pirates pour vous empêcher de fermer une fenêtrefenêtre, et vous obliger à ouvrir des sites vérolés. Chrome est victime de ce bug.

    Publié le 29/03/19 par Fabrice Auclert

    Google vient de corriger une faille dans son navigateur Chrome qui était exploitée par les arnaques au faux support technique. Une simple page qui utilise un pointeur personnalisé suffit à donner l'impression que le navigateur est bloqué. L'utilisateur est alors incité à appeler un numéro d'un faux support technique qui va chercher à prendre la main sur l'ordinateur.

    La faille a été signalée par Jérôme Segura, un analyste chez l'éditeur de logiciels de sécurité Malwarebytes, dès septembre 2018. Elle a été baptisée « Evil cursor », ou le pointeur maléfique. Elle fait partie d'un ensemble de techniques utilisées par un groupe surnommé Partnerstroka par les chercheurs, l'un des plus actifs dans le domaine des arnaques au faux support technique.

    Le correctif ne sera pas publié tout de suite

    L'astuce consiste à remplacer l'image du pointeur par une image plus grande, contenant une fausse image du pointeur dans la partie supérieure et le reste en transparencetransparence. Le point utilisé pour les clics se trouve en réalité en bas de ce carré invisible, très éloigné de la fausse image du pointeur vue par l'utilisateur. Lorsqu'il tente de fermer la fenêtre ou l'onglet en cliquant sur les boutons du navigateur, le clic est pris en compte plus bas, donnant l'impression que Chrome est bloqué.

    Google a corrigé cette faille dans Chrome Canary, une version expérimentale du navigateur réservée aux développeurs. Il faudra ensuite attendre que le code soit intégré dans une version bêtaversion bêta avant d'arriver à la version grand public. En attendant, les victimes de cette faille peuvent appuyer simultanément sur les touches Ctrl et F4 sur Windows, ou Commande et W sur Mac, pour fermer l'onglet en cours.