C’est la première semaine de mise à jour navigateur de ce début d’année 2019 avec Google et Mozilla qui nettoient des fonctionnalités de sécurité et corrigent des failles de sécurité de Chrome et Firefox pour Mac, Windows et Linux.
Mais concernant les aspects sécurité de Chrome et de sa version 72, il s’agit plus d’éléments retirés que de fonctionnalités ajoutées.
L’une de ces modifications est la suppression de la prise en charge des protocoles obsolètes TLS 1.0 et 1.1 en vue de supprimer complètement celle-ci dans Chrome 81, prévue pour le début de l’année prochaine (la même approche sera appliquée à Firefox, Microsoft Edge et Safari d’Apple). Cette décision affectera les développeurs plutôt que les utilisateurs qui pourront toujours se connecter à un très petit nombre de sites utilisant TLS 1.0/1.1 pendant une année supplémentaire.
Cependant, une norme totalement bannie de Chrome 72 est le HTTP-Based Public Key Pinning (HPKP), obsolète depuis la version 67 de mai dernier.
Cette norme de sécurité IETF conçue pour contrer l’usurpation de certificat numérique, le problème du HPKP n’était pas son obsolescence, mais plus les sérieux doutes concernant les éventuels problèmes non intentionnels qu’il pouvait générer. Par conséquent, l’adoption avait été faible.
FTP est également sur la pente descendante, ce que Google considère comme un ancien protocole qu’il est temps d’abandonner. La dernière version n’affichera que les listes de répertoires, en téléchargeant tout autre chose.
L’intégration des API WebAuthn permet aux utilisateurs de s’authentifier à l’aide des clés FIDO U2F et Windows Hello. Bien qu’elles ne soient toujours pas proposées par défaut, et qu’aucun site web majeur n’offre WebAuthn sous une autre forme que le mode test, c’est une étape nécessaire pour permettre son activation par défaut dans une version future.
Les correctifs de sécurité
Chrome 72 corrige 58 failles de sécurité de type CVE, dont 17 “sévères” et une “critiques”, identifiées sous CVE-2019-5754 et décrites simplement comme une “implémentation inappropriée dans QUIC Networking”.
La prochaine version, Chrome 73, est prévue pour le 12 mars. La version 74 sortira le 23 avril.
Une partie de cette mise à jour verra Chrome avertir les utilisateurs lorsqu’ils visiteront des URL ressemblant fortement à celles de sites web populaires.
Firefox 65
Sophos a déjà présenté le nouveau paramètre de blocage de contenu ajouté à Firefox 65, mais ce correctif traite également sept CVE, dont trois marquées “critiques” et deux “élevées”.
Les failles critiques incluent CVE-2018-18500 (rapporté par Yaniv Frank, chercheur chez SophosLabs), et décrite comme suit :
Vulnérabilité de type “use-after-free” pouvant survenir lors de l’analyse d’un flux HTML5 en association avec des éléments HTML personnalisés.
CVE-2018-18501 et CVE-2018-18502, deux failles de sécurité au niveau de la mémoire, ainsi que CVE-2018-18504, un problème de corruption de mémoire, et CVE-2018-18505, une élévation de privilèges affectant Inter-Process Communication (IPC), ont également été corrigés.
Poursuivant sur le thème de la mémoire, les versions de Linux, macOS et Android bénéficient d’une protection contre le “stack smashing”, que les attaquants peuvent utiliser pour prendre le contrôle du processus du navigateur.
Billet inspiré de Update now! Chrome and Firefox patch security flaws, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.