Une vulnérabilité dans le moteur Javascript du navigateur de Google permet à un attaquant d’installer n’importe quel logiciel depuis un site Web piégé. Aucun patch n’est disponible pour l’instant.
Alerte rouge sur Android. Il y a quelques jours, le hacker Guang Gong de la société Quihoo 360 a révélé une faille zero-day dans le moteur Javascript de Chrome (« Javascript V8 Engine »).
A l'occasion du concours de piratage MobilePwn2Own de la conférence PacSec à Tokyo, l'expert en sécurité a démontré qu’il suffisait qu’un utilisateur se rende sur un site web piégé pour qu'un attaquant obtienne tous les privilèges d’accès et d’exécution sur son appareil. Plus inquiétant encore, cette faille est présent sur n’importe quel terminal Android récent. Plus précisément, elle permet à un attaquant d’installer ni vu ni connu une application arbitraire sans qu’aucune interaction ne soit requise de la part de l’utilisateur.
Les détails techniques ne sont pas connus, car aucun patch n’est disponible pour l’instant. M. Guang Gong a transmis sa trouvaille à Google qui devrait fournir un correctif prochainement. D’ici là, il est recommandé de ne pas utiliser Chrome sur votre terminal Android. « Ce qui est impressionnant avec l’exploit de Guang, c’est qu’il s’agit d’un one-shot. Dans la plupart des cas aujourd’hui, les hackers sont obligés d’exploiter plusieurs failles d’affilée pour obtenir un accès privilégié et installer des logiciels en douce », explique Dragos Rui, l’organisateur de ce concours, dans les colonnes de The Register.
