Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

1ère faille de sécurité découverte sur Google Chrome


Boss_Med

Messages recommandés

GOOGLE CHROME : FAILLE DE SÉCURITÉ ?!?

 

En Beta Testant mon Google chrome je me suis apperçu qu'il etait possible de charger n'importe quelle dll dans le process de Chrome avec un simple shellexecute :

Shell "c:\users\xxxxx\appdata\local\google\chrome\application\chrome.exe --lang=fr --type=plugin --channel=3968.2993070.1103732645 --plugin-path=""c:\mondossier\madll.dll"""

 

Le numero de channel peut être recuperé en listant les processus de chrome !

La dll se charge et dllmain est executé, juste apres chrome se coupe mais il est trop tard le mal est fait...

Aller encore un petit effort c'etait presque bien, vous nous refaite une petite page de BD ? ;)

 

Explication :

 

"Il serait possible d'executer du code de provenance inconnu dans le processus de Google Chrome."

Le processus chrome.exe apparaitrait alors normallement dans la liste des taches sans erreur notoire.

Neanmoins un code malveillant pourrait telecharger, executer, espionner et bien d'autres choses à travers Chrome.exe.

Ceci grace à l'argument de ligne de commande --plugin-path qui permet de charger une DLL (fichier binaire contenant du code) au sein de Chrome.exe visiblement sans verification de sa provenance.

Meme si le processus a des droits limité sur le systeme cette DLL beneficie d'une excelente couverture.

source

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...