Faille critique dans Google Chrome : une découverte grassement rémunérée

Pour sa découverte d’une faille critique dans le navigateur Google Chrome, un hacker surnommé « Pinkie Pie » est reparti avec un Chromebook sous le bras… et 60 000 dollars en poche.

Le théâtre de sa performance ? une nouvelle session du concours Pwnium – la deuxième – tenue ce 10 octobre en Malaisie, dans le cadre du 10^e anniversaire de la conférence Hack In The Box.

A l’initiative de Google, quiconque mettait le doigt sur une vulnérabilité classée critique était rétribué d’un minimum de 40 000 dollars.

La récompense maximale s’élevait à 60 000 dollars, avec une dotation globale plafonnée à 2 millions de dollars.

En une journée de compétition, le groupe Internet de Mountain View n’a mis qu’une seule fois la main au portefeuille, mais le jeu en valait bien la chandelle.

Et pour cause : la faille dont il est question est un « Full Chrome Exploit » de la plus haute importance, lié au support du SVG au sein du Webkit, ainsi qu’à la couche IPC.

Silicon.fr explique qu’un dépassement de tampon permettait l’accès à la mémoire d’un objet après libération de la ressource.

Les ingénieurs ont sur-le-champ pris le pli, se sont affairés à déployer un correctif et ont résorbé le mal en moins de 10 heures, avant de publier la version 22.0.1129.94 de Chrome, pour Windows, Mac OS et Linux.

Alerte à la faille critique pour Google Chrome

Le 9 octobre, à l’heure de publier Chrome en version 22.0.1229.92, Google a annoncé la résorption de 5 vulnérabilités, dont l’une classée critique.Celle-ci permettait la mise en place d’une « exploit » capable de passer outre le bac à sable (sandbox) du navigateur, ouvrant la voie à une prise de contrôle à distance de la machine infectée.

Cette découverte a valu à Atte Kettunen, de l’Oulu University Secure Programming Groupe, une récompense de 3133,70 dollars, auxquels se sont additionnés 1000 dollars pour une autre faille, jugée « importante ».

Crédit photo : Shutterstock – mkabakov