La google ToolBar pourrait être exploitée pour installer quelques malwares sur vos machines

---

La faille se trouve dans la barre d'outils Google et utilise le mécanisme d'ajout de nouveaux boutons sur le navigateur. Comme la barre d'outils n'effectue pas de vérifications suffisantes lorsque de nouveaux boutons de contrôles sont en cours d'installation, un pirate informatique pourrait faire passer son propre bouton pour un bouton légitime alors qu'en fait, il est venu d'ailleurs que le site de google. Par usurpation, un attaquant peut télécharger des fichiers malveillants ou lancer une attaque de phishing contre la victime, a écrit Aviv Raff chercheur en sécurité dans un blog sur la question.

Raff a posté un code de preuve du concept, montrant comment une telle attaque peut fonctionner avec le navigateur Internet Explorer. Un porte-parole de Google a confirmé mardi que la société s'emploie à résoudre le problème.

Heureusement, l'attaque nécessite de nombreuses étapes. Premièrement, la victime devra être trompée en cliquant sur un lien Web qui serait alors une fenêtre pop-up demandant à l'utilisateur s'il souhaite installer un bouton personnalisé sur sa barre d'outils. Une fois que le bouton a été installé sur la barre d'outils, la victime doit cliquer sur celui-ci, et enfin être d'accord pour télécharger et exécuter un fichier pour qu'un logiciel malveillant puisse être installé.

Parce que l'utilisateur devra passer par autant d'étapes en vue de devenir victime de l'attaque, le problème n'est pas classé comme critique, a déclaré Marc Maiffret, un chercheur indépendant en matière de sécurité. "Même s'il est intéressant, il y a sans doute une menace faible par rapport à d'autres failles, a t-il dit.

"Néanmoins, le travail de Google a été bâclé pour rater une telle possibilité d'attaque simple, ils doivent certainement apprécier comment elle est passée à travers les mailles du filet", a t-il dit.

Ce n'est pas la première faille évidente de Google que Raff a découverte. Le mois dernier, il a montré comment une simple erreur de programmation Web sur le site Web de Google.com pourrait permettre à des attaquants de lancer ce qui est connu sous le nom de cross scripting site attaque (on exécute un script d'une autre adresse web).

Parce que les développeurs de Google n'ont pas bien vérifiés le code HTML généré par le moteur de recherche Google, Raff a réussi à créer un lien Google qui, lorsqu'on clique dessus, roule le navigateur en éxécutant des scripts normalement non autorisés. Ce type de lien pourrait être utilisé pour voler les données de compte google d'une victime ou tenter de mener des attaques de phishing, dit Raff.

Cette erreur a été corrigée par Google quelques heures seulement après que Raff ait notifié à la société le problème, mais une démonstration de la faille exploitée a pu être vue en ligne.