Des chercheurs découvrent 11 failles de sécurité profondes dans les navigateurs Chrome et Firefox

Des chercheurs du Georgia Tech trouvent des failles de sécurité dans les navigateurs Chrome et Firefox

Des chercheurs du Georgia Institute of Technology College of Computing ont trouvé 11 failles auparavant non découvertes dans deux des navigateurs Internet les plus utilisés—Google Chrome et Mozilla Firefox.

Les chercheurs ont trouvé ces failles enfouies profondément dans le système grâce à une nouvelle méthode d’analyse de cybersécurité.

Pour leurs efforts, ils ont été récompensés par le Prix de la Défense Internet, un prix décerné par Facebook, en partenariat avec USENIX, lors du 24ème Symposium de Sécurité USENIX qui s’est terminé le 14 août.

Les étudiants en doctorat Byoungyoung Lee et Chengyu Song, avec les professeurs Taesoo Kim et Wenke Lee, de Georgia Tech ont reçu 100 000 $ de Facebook pour continuer leurs recherches et augmenter leur impact afin de rendre Internet plus sûr.

Leur recherche, “Vérification de la conversion de type : arrêter un vecteur d’attaque émergent,” explore les vulnérabilités dans les programmes C++ (comme Chrome et Firefox) qui résultent d’une “mauvaise conversion” ou “confusion de type.” Une mauvaise conversion permet à un attaquant de corrompre la mémoire dans un navigateur afin qu’il suive une logique malveillante au lieu des instructions appropriées. Les chercheurs ont développé un nouvel outil de détection propriétaire appelé CAVER pour les attraper. CAVER est un outil de détection en temps réel avec un surcoût de 7,6 % à 64,6 % sur les performances du navigateur (Chrome et Firefox, respectivement).

Les 11 vulnérabilités identifiées par Georgia Tech ont été confirmées par Mozilla et Google et les deux navigateurs ont maintenant été corrigés.

“Il est temps pour la communauté Internet de commencer à s’attaquer aux problèmes de sécurité plus difficiles et plus profonds,” déclare Wenke Lee, professeur à l’École d’informatique et conseiller de l’équipe. “La communauté de recherche en sécurité travaille depuis des décennies sur diverses façons de détecter et de corriger les bugs de sécurité de la mémoire, et a fait des progrès sur les bugs de ‘débordement de pile’ et de ‘débordement de tas’, mais ceux-ci sont devenus des problèmes relativement faciles. Notre travail a étudié les bugs beaucoup plus difficiles et profonds — en particulier ‘utilisation après libération’ et ‘mauvaise conversion’ — et nos outils ont découvert de graves bugs de sécurité dans des logiciels largement utilisés, tels que Firefox et libstdc++. Nous sommes reconnaissants à Facebook pour cette reconnaissance.”

Les chercheurs ont développé un nouvel outil de détection propriétaire appelé CAVER pour les attraper. CAVER est un outil de détection en temps réel avec un surcoût de 7,6 % à 64,6 % sur les performances de Chrome et Firefox.

“Concevoir une technologie de sécurité défensive n’a jamais été aussi important, et c’est pourquoi nous offrons à nouveau le Prix de la Défense Internet pour stimuler la recherche de haute qualité dans ce domaine,” a déclaré Ioannis Papagiannis, responsable de l’ingénierie de la sécurité chez Facebook. “La technique novatrice de l’équipe de Georgia Tech pour détecter les mauvaises conversions de type dans les programmes C++ est le type d’approche remarquable que nous voulons encourager. Nous sommes impatients de voir ce que l’équipe fera ensuite pour créer un impact plus large et améliorer la sécurité sur Internet.” “La soumission primée de Georgia Tech illustre la recherche en sécurité révolutionnaire qui est devenue une caractéristique du Symposium de Sécurité USENIX,” a déclaré Casey Henderson, directeur exécutif de l’Association USENIX. “Leur travail novateur s’est démarqué parmi les nombreuses soumissions exceptionnelles jugées par le Comité des Prix de Sécurité USENIX et Facebook. Nous attendons avec impatience leurs progrès continus rendus possibles par le Prix de la Défense Internet dans l’année à venir.