Un nouveau bug peut planter Chrome et tous les navigateurs web fonctionnant avec le moteur Chromium en une poignée de secondes. Google a été prévenu et enquête sur ce qui est davantage une nuisance qu’à une compromission menant à un malware.
Chrome, Edge, Brave et le tout nouveau Atlas d’OpenAI ont un point en commun : ils fonctionnent avec Chromium, le moteur qui gère l’affichage des pages web et les principales fonctions de ces logiciels. Il suffit d’un bug dans Chromium pour que tous ces navigateurs plantent ! C’est la trouvaille du chercheur en sécurité José Pino, qui provoque le crash des navigateurs Chromium en quelques secondes, avec parfois le gel complet de l’ordinateur en prime.
Déni de service massif
En lançant des rafales de mises à jour — on parle de plusieurs dizaines de millions par seconde ! — le code malveillant sature le moteur JavaScript de rendu Blink. Résultat : les onglets se figent, puis ils affichent un message « page non réactive » avant de s’effondrer définitivement si le processus n’est pas forcé.
José Pino a testé sa preuve de concept sur 11 navigateurs déployés sur Android, macOS, Windows et Linux. Neuf d’entre eux ont cédé à l’expérience — Chrome, Edge, Vivaldi, Arc, Dia, Opera, Perplexity Comet, ChatGPT Atlas et Brave —, provoquant des blocages en 15 à 60 secondes selon les cas. Un test réalisé par The Register sur Microsoft Edge aurait même bloqué la machine Windows après environ 30 secondes et consommé près de 18 Go de RAM (!) dans un seul onglet.
En théorie, des centaines de millions d’utilisateurs sont concernés par cette faille, baptisée « Brash ». Firefox, Safari et les navigateurs iOS (avec le moteur WebKit) sont épargnés.
Le risque principal n’est pas l’installation d’un malware persistant : « Brash » est avant tout un déni de service. En pratique, il peut toutefois entraîner une perte de travail si des onglets hébergent du contenu non sauvegardé, et n’importe quelle page web (ou site compromis) pourrait héberger le script malveillant.
Le chercheur indique avoir informé l’équipe de sécurité du projet Chromium le 28 août, puis relancé le 30 août. Sans réponse satisfaisante, il a décidé de publier sa découverte pour attirer l’attention. Google enquête désormais sur le sujet, et il y aura sans doute un correctif dans Chromium sous peu. Mais ces correctifs devront sans doute être adaptés par chaque fournisseur, car les navigateurs basés sur Chromium intègrent des personnalisations propres.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
The Register