C’est en toute discrétion que Google a corrigé une importante faille dans son navigateur Chrome, une vulnérabilité qui permettait de désactiver les extensions.
C’est le chercheur Mathias Karlsson qui a découvert qu’il était possible de désactiver toutes les extensions du navigateur Chrome, et cela sans la moindre intervention de la part de l’utilisateur. Il s’agit bien évidemment d’une faille importante vu qu’elle permet de passer outre les extensions.
Il a été découvert qu’il suffisait de saisir l’URL de l’extension pour désactiver automatiquement une extension. Par exemple pour HTTPS Everywhere, qui force les échanges sécurisés en forçant le HTTPS, il fallait simplement se rendre sur « chrome-extension://gcbommkclmclpchllfjekcdonpmejbdp/ ».
Bien que Chrome bloque systématiquement de nombreuses manières d’activer ce type de lien, une est restée ouverte, celle consistant à passer par le système de notifications. Ainsi, un pirate peut insérer le code « : » sur sa page web pour désactiver HTTPS Everywhere en toute discrétion.
C’est en toute discrétion aussi que Google a corrigé cette faille découverte par le cabinet Detectify Labs en déployant une mise à jour pour la dernière version stable de son navigateur Chrome.