[MàJ] Plantages avec certaines URL : Google et Opera corrigent le tir

Chez Opera, pas de changement pour le moment

Sans l'indiquer dans ses notes de version, Google a corrigé un problème lié à certains caractères spéciaux dans une URL qui faisaient planter le navigateur. De son côté, Opera est toujours vulnérable.

Il y a un peu plus d'une semaine, les dernières moutures stables de Chrome et d'Opera (qui est basé sur Chromium 45) plantaient avec des URL contenant une certaine suite de caractères. Un ticket avait été ouvert sur le site du projet Chromium et un des développeurs indique que Chrome 45.0.2454.101 corrige désormais ce problème.

Cette mouture est disponible depuis le 24 septembre, mais les notes de version de Google sont relativement légères puisqu'il n'était question que de la correction de deux failles de type Cross-origin sur DOM et V8 et... c'est tout. Les brèches semblent tout de même importantes puisque les détails n'ont pas encore été mis en ligne, tout comme le montant des récompenses.

Pour installer la mise à jour sur Chrome, il suffit généralement de redémarrer son navigateur ou bien de se rendre dans le menu À propos. De son côté, Opera n'a pas encore eu droit à une mise à jour et le navigateur est donc toujours sensible à ce genre d'URL, qui continuent donc de le faire planter. Pour rappel, Edge et Firefox n'étaient pas concernés.

Au tour de l’hôpital de Cannes d’être victime d’une cyberattaque

07:46 0

Une analyse (très) détaillée du hardware de la Freebox Ultra par Deus Ex Silicium

07:31 12

Des ondes gravitationnelles de la « fusion d’une étoile à neutrons et d’un objet compact inconnu »

07:19 1

Pegasus : près de 600 Polonais auraient été espionnées par l’ancien gouvernement conservateur

07:07 3

TikTok Lite sous pression de la Commission européenne

07:05 7

Solidaires informatiques alerte contre le « spectre du gamergate »

07:05 38

Commentaires (17)

boogieplayer

Le 28/09/2015 à 07h 00

On ne  sait pas si c’est lié à des caractères hors latin ? 

alex.d. Abonné

Le 28/09/2015 à 07h 54

boogieplayer a écrit :

On ne  sait pas si c’est lié à des caractères hors latin ? 

Aucun rapport avec le latin. C’est une mauvaise gestion des séquences d’échappement. Le %%300 passe à la validation/canonisation. C’est interprété comme %(%30)0, et on obtient donc %00, caractère nul, invalide dans une URL.

Et quand l’étage de validation d’URL laisse passer une URL invalide (en fait même : génère la-dite URL invalide), ensuite ça pète, c’est logique.

Bref, quand une substitution de séquence d’échappement génère elle-même une nouvelle séquence, il faut refaire une passe de validation.

 

DEATH

Le 28/09/2015 à 08h 07

Bug expliqué en détails

Le 28/09/2015 à 08h 19

merci m’sieur " />

Krogoth

Le 28/09/2015 à 09h 05

Isokras a écrit :

MAJ sans fournir les détails, quand c’est Windows 10 tout le monde critique, quand c’est Chrome alors là ils peuvent nous installer ce qu’ils veulent sans nous dire, ça ne pose pas de problème.

D’un coté un OS, de l’autre un navigateur…

 

SebGF Abonné

Le 28/09/2015 à 09h 38

Krogoth a écrit :

D’un coté un OS, de l’autre un navigateur…

Navigateurs qui sont devenus avec le temps le point central de toute utilisation d’un ordinateur.

Ils atteignent un degré de criticité presque équivalent à l’OS désormais.

MuadJC

Le 28/09/2015 à 09h 44

Krogoth a écrit :

D’un coté un OS, de l’autre un navigateur…

Non, même rigueur.

Ce qui permet de (re)conclure au troll de cet habitué de kras

Konrad

Le 28/09/2015 à 09h 51

Isokras a écrit :

MAJ sans fournir les détails, quand c’est Windows 10 tout le monde critique, quand c’est Chrome alors là ils peuvent nous installer ce qu’ils veulent sans nous dire, ça ne pose pas de problème.

Code source du patch

DDReaper

Le 28/09/2015 à 11h 17

du patch de Chromium, pas Chrome bien sûr " />

Le 28/09/2015 à 12h 25

#10

Mithrill a écrit :

Autre gros soucis de Chrome c’est qu’il se lance à nouveau tout seul sans qu’on lui ai rien demandé !!!
&nbsp;C'est franchement flippant
" />

Soit tu as un spyware, soit tu… attends, tu as dis chrome? J’ai rien dit " /> (ça fonctionne aussi avec Windows 10 - #TheorieDuComplot)

athlon64

#11

ca serait pas l’autorisation d’une app a s’exécuter en arruère plan ? (jamais remarqué le problème vu qu’il est tout le temps ouvert " />)

Le 28/09/2015 à 13h 46

#12

Mithrill a écrit :

Il avait déjà ce comportement de crapware sous XP, c’était assez rare mais dérangeant… On ne change pas les bonnes mauvaises habitudes chez Google… comportement détestable ! C’est une des façons qu’ils utilisent pour grapiller des pdm.

Je trollais, mais on dirait qu’il s’agit en fait de récidive de ce navigateur…

Je reste sur mes versions renards.

Le 28/09/2015 à 14h 28

#13

Il faut 10 minutes pour changer de navigateur (en comptant le téléchargement et install).

 

Tu me diras comment tu fais pour changer d’OS en 10 minutes. La criticité d’un navigateur c’est juste celle que veut bien lui donner l’user. Et pour celui qui laisse son navigateur être un élément critique heureusement que des majs se font de façon silencieuse.

arno53

Le 28/09/2015 à 16h 40

#14

Super… J’avais enfin trouvé un bon jeu web sans flashhttp://szhu.github.io/3030/ et maintenant il marche plus… Compatibilité ascendante mon oeil… Le web n’est définitivement pas fait pour le jeu…

[MàJ] Plantages avec certaines URL : Google et Opera corrigent le tir

Chez Opera, pas de changement pour le moment

Tiens, en parlant de ça :

L’Institut des normes de télécommunication de l’UE (ETSI) défie la Commission européenne

Irréductible gaulois, #oupas

Le « payer ou accepter » de Meta incompatible avec le RGPD pour le CEPD

Schrems vs Meta, une histoire sans fin

Le CERN libère les données de la découverte du boson de Higgs

Goddamn Particle!

Sommaire de l'article

Introduction

L’Institut des normes de télécommunication de l’UE (ETSI) défie la Commission européenne

Le « payer ou accepter » de Meta incompatible avec le RGPD pour le CEPD

Le CERN libère les données de la découverte du boson de Higgs

Le ministère de l’Intérieur mise sur l’américain TRM Labs pour traquer les flux illégaux de cryptos

#LeBrief : spectre du gamergate, TikTok Lite sous pression, Freebox Ultra vs Deus Ex Silicium, Pegasus en Pologne

Le Slip français se fait trouer : 1,5 million d’emails et des données de 696 144 clients dérobés ?

Après l’affaire XZ Utils, la sécurité des projets open source en question

Samsung dépasse les 10 Gb/s avec sa mémoire LPDDR5X

Élections européennes : Meta échoue à modérer des publicités de propagande pro-russe

#LeBrief : fuite chez le Slip Français, YouTube et les antipubs, Firefox 125, délit pour les deepfakes, trou noir « dormant »

VMware by Broadcom : une situation tendue, l’Europe s’en mêle

Comment la désinformation d’extrême-droite sert les intérêts russes en France

Mars Sample : retour pas si sûr…

#LeBrief : « traumatisme » du deepfake pornographique, Tesla licencie, Samsung repasse devant Apple, Musk vs finances X

Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Apple autorise puis supprime un émulateur Game Boy sur iOS

Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Rapidité vs précision : deux experts nous expliquent les enjeux des GPU modernes sur les IA

#LeBrief : Beeper rachetée, Cyber Command USA, incident technique BFMTV, « destin énergétique » de l’Europe

#Flock : de Game of Shithrones au jeu des sept différences

[Édito] Respectez les sciences, bordel !

Une faille critique dans le langage Rust, Windows trinque

La CADA considère que le code source et les algorithmes de MIA devraient être rendus publics

Ubuntu 24.04 LTS se profile comme une version majeure, le tour des nouveautés

Loi SREN adoptée : comment la France va sécuriser et réguler l’espace numérique

« La vidéoprotection augmentée ne sera pas optimum au moment des JO »

#LeBrief : floutage DM Instagram, Apple vs espionnage, musique par IA avec Udio, Joe Biden vs Julian Assange