Un chercheur gagne 100 000 dollars pour avoir signalé à Google une chaîne d’exploitation Chrome OS 

 

Les failles de Chrome OS ont conduit à l’exécution de code persistante

« Nous avons une récompense permanente de 100 000 $ pour les participants qui peuvent compromettre un Chromebook ou une Chromebox avec la persistance de l’appareil en mode Invité (persistance d’invité à invité avec redémarrage provisoire, via une page Web) »,

indique Google dans ses règles Chrome Reward.

Le chercheur en sécurité, Gzob Qq, coutumier du signalement de faille, puisqu’il avait déjà signalé une faille persistante dans Chrome OS,  a récemment publié les détails d’une nouvelle faille (ou d’une série d’entre elles) signalée à l’entreprise le 18 septembre. Gzob Qq a découvert un certain nombre de vulnérabilités pouvant mener à l’exécution de code persistante. OS SecurityWeek signale que la série d’exploits qui ont conduit à l’exécution de code persistante comprend cinq vulnérabilités au total :

  1. Une faille d’accès mémoire hors-limites dans le moteur JavaScript V8 (CVE-2017-15401)
  2. Escalade de privilèges dans PageState (CVE-2017-15402)
  3. Faille d’injection de commande dans le composant network_diag (CVE-2017-15403)
  4. Problèmes de traversée de symlink dans crash_reporter (CVE-2017-15404),
  5. et cryptohomed (CVE-2017-15405).

La société a reçu une preuve de cette chaîne d’exploitation fonctionnant sous Chrome OS version 9592.94.0. Aujourd’hui, Google a déjà corrigé toutes les vulnérabilités signalées par le chercheur, avec la dernière version de Chromium. Les correctifs ont été mis à disposition le 27 octobre avec la sortie de Chrome OS 62 (version de la plate-forme 9901.54.0 / 1) qui incluait également des correctifs pour les vulnérabilités KRACK.

Pour son travail, le chercheur a reçu un gros chèque de 100 000 $. – Plus de détails techniques de cette chaîne d’exploit sont disponibles ici .

Google ne lésine pas sur les moyens pour rendre Chrome OS encore plus sûr ! Si vous n’avez pas encore reçu la dernière mise à jour, ne vous inquiétez pas, elle arrive très prochainement.

Que pensez-vous du programme de récompense de Google pour protéger nos appareils et leurs utilisations ? Donnez-moi votre avis, posez-moi vos questions dans la suite de cet article à travers vos commentaires.

Sources: wccftech.com , securityweek.com

Shares:

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.