Insécurité des optimisations des moteurs JavaScript

Magazine
Marque
MISC
HS n°
Numéro
20
Mois de parution
octobre 2019
Domaines


Résumé

Le navigateur web peut constituer le point d’entrée d’une compromission d’un téléphone mobile ou d’un ordinateur personnel. Sur des systèmes correctement mis à jour, l’attaquant devra faire l’usage de failles 0-days afin de prendre le contrôle du navigateur. Cette année, on a pu observer une attention particulière portée aux moteurs JavaScript, que ce soit via les bugs corrigés, les attaques démontrées à des événements du type pwn2own ou encore des attaques réelles. Il y a deux exemples très récents d’attaques ciblées de ce type : les chaînes d’exploits visant certains utilisateurs d’iPhone ainsi que la chaîne d’exploits pour Firefox visant coinbase.


Comme l’actualité le montre avec le nouvel article de Google Project Zero [1], le moteur JavaScript des navigateurs web est un composant fortement ciblé. Leur article analyse des « full-chains » utilisées dans le contexte d’opérations réelles et l’on remarque que le point d’entrée initial est souvent le même : JavaScriptCore, le moteur JavaScript utilisé par Safari. Dans le contexte d’attaques ciblant des utilisateurs de téléphones Android, le point d’entrée pourra être Chrome ou une variante telle que sBrowser. De manière simplifiée, de nombreux bugs affectant le moteur JavaScript seront soit des problèmes liés aux fonctionnalités dites « built-in » qui correspondent à l’implémentation du standard ECMAScript, soit au moteur d’optimisation. Par exemple, la méthode ‘Array.concat’ à elle seule a été responsable de nombreuses failles de sécurité. On peut citer CVE-2017-5030 dans v8 (chrome), CVE-2017-2464 dans JSC (Safari) ou encore...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Déboguez vos codes PHP

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

La mise au point de programmes PHP est parfois perçue comme archaïque, car la configuration d’un environnement efficace de debugging peut s’avérer déroutante. Voici comment paramétrer une confortable installation pour profiter pleinement d’outils professionnels et maîtriser le développement local ou distant.

Utiliser Visual Studio Code pour coder en Python

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

Comme Batman a Robin, Rocket Raccoon a Groot, le développeur a l’éditeur de code. Sans son plus fidèle acolyte, impossible d’écrire la moindre ligne de code... d’où l’importance d’être toujours à la recherche de l’outil le plus efficace qui soit, quitte à délaisser un vieux compagnon de route...

Générez la documentation technique de vos projets Godot

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

Découvrons comment utiliser GDScript Docs Maker pour générer automatiquement la documentation de vos projets Godot. Nous allons voir dans cet article que l’on peut simplement, à partir de notre code et de ses commentaires, avoir une documentation toujours à jour.