Chromium, une faille permettait de contourner le CSP

Une vulnérabilité dans les navigateurs basés sur Chromium permettrait aux pirates informatiques de contourner la politique de sécurité du contenu (CSP) sur les sites Web afin de dérober des données et d’exécuter du code malveillant.

La faille (CVE-2020-6519) se trouve dans Chrome, Opera et Edge, sur Windows, Mac et Android(tout les navigateurs basés sur Chromium). Des milliards d’utilisateurs sont potentiellement affectés, selon Gal Weizman, chercheur en sécurité informatique chez PerimeterX. Les versions de Chrome 73 (Mars 2019) à 83 sont concernées (la version 84est sortie en juillet et corrige le problème).

CSP est une norme Web destinée à contrecarrer certains types d’attaques, notamment les attaques de scripts intersites (XSS) et d’injection de données. CSP permet aux administrateurs Web de spécifier les domaines qu’un navigateur doit considérer comme des sources valides de scripts exécutables. Un navigateur compatible CSP n’exécutera alors que les scripts chargés dans les fichiers source reçus depuis ces domaines.

“Le CSP est la principale méthode utilisée par les propriétaires de sites Web pour appliquer des politiques de sécurité des données afin d’empêcher les exécutions de codes malveillants sur leur site Web, donc lorsque cette sécurité du navigateur peut être contournée, les données personnelles des utilisateurs sont en danger”, a expliqué Weizman, dans une étude.

google chrome

La plupart des sites Web utilisent CSP, a noté le chercheur, y compris des géants de l’internet comme ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo et Zoom. Certains noms notables n’ont pas été affectés, notamment GitHub, Google Play Store, LinkedIn, PayPal, Twitter, la page de connexion de Yahoo et Yandex.

Pour exploiter la vulnérabilité, un attaquant doit d’abord accéder au serveur Web (via des techniques de force brute sur les mots de passe ou une autre méthode), afin de pouvoir modifier le code JavaScript qu’il utilise. Ensuite, l’attaquant pourrait ajouter une directive frame-src ou child-src dans le JavaScript pour permettre au code injecté de le charger et de l’exécuter, en contournant le CSP et en contournant ainsi la politique du site, a expliqué Weizman.

En raison de l’aspect post-authentification de la faille, elle se classe comme un problème de gravité moyenne (6,5 sur 10 sur l’échelle CvSS). Cependant, comme cela affecte l’application du CSP, cela a de vastes implications », a déclaré Weizman, comparant cela à un problème avec les ceintures de sécurité, les airbags et les capteurs de collision.

«[En raison de] la perception accrue de la sécurité, les dommages causés lors d’un accident lorsque cet équipement est défectueux sont beaucoup plus graves», a déclaré le chercheur. «De la même manière, les développeurs de sites Web peuvent autoriser des scripts tiers à ajouter des fonctionnalités à leur page de paiement, par exemple, sachant que CSP limitera l’accès aux informations sensibles. Ainsi, lorsque CSP est interrompu, le risque pour les sites qui en dépendaient est potentiellement plus élevé qu’il ne l’aurait été si le site n’avait jamais eu CSP au départ. »

chromium

La vulnérabilité était présente dans les navigateurs Chrome pendant plus d’un an avant d’être corrigée, donc Weizman a averti que toutes les implications de la faille ne sont pas encore connues: «Il est fort probable que nous apprendrons l’existence de brèches de données dans les mois à venir qui auraient abouti à l’exfiltration d’informations personnelles identifiables (PII) à des fins malveillantes. »

Mettez à jour vos navigateurs basés sur Chromium

Les utilisateurs doivent mettre à jour leurs navigateurs avec les dernières versions pour éviter d’être victimes de cette faille de sécurité.

Chromium est un navigateur web libre qui sert de base à plusieurs autres navigateurs, dont certains open-source (Iridium…) ou certains propriétaires (Vivaldi Browser, Google Chrome, Yandex Browser). Opera est fondé sur Chromium depuis sa version 15 et Edge depuis la version 80.0.361.111.

Le moteur de rendu de Chromium s’appelle Blink. Google a remplacé le moteur de rendu WebKit par Blink depuis avril 2013. Il permettrait de rendre le navigateur plus stable et plus léger. Il est compatible GNU/Linux, Mac OS X et Windows, ce qui fait de Chromium un navigateur multiplateforme.

Les extensions de Chrome fonctionnent aussi avec Chromium. Certains utilisateurs préfèrent Chromium à Google Chrome car ils jugent inutiles ou néfastes les apports de Google Chrome par rapport à Chromium (en particulier les fonctionnalités de pistage)

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x