Ce plugin dispose d’une base d’installations dépassant le million et est donc une cible potentielle d’attaques. Il fournit environ 80 éléments et extensions pour aider à la conception et la personnalisation des pages web.

La vulnérabilité, si elle était exploitée, permettrait l’exécution d’un code arbitraire. Patchstack, société à l’origine de la découverte, explique : 

« Cette faille permet à n’importe quel utilisateur, quel que soit leur statut d’authentification et d’autorisation, de réaliser une attaque par inclusion de fichier local. Cette attaque peut être utilisée pour inclure des fichiers locaux dans le système de fichier du site web, comme dans /etc/passwd. ». Elle ajoute que l’on peut exploiter une autre faille par l’inclusion d’un code PHP qui sera exécuté dans les mêmes conditions.

Il y a un facteur limitant : il faut que des widgets comme la galerie dynamique ou de produits soient utilisés. La faille est cependant considérée comme critique et les personnes concernées sont invitées à migrer vers la version 5.0.5 du plugin aussi vite que possible. Toutes les versions antérieures sont vulnérables.

Nouvelle mouture pour le navigateur de Chrome, avec à son bord des nouveautés visibles et d’autres moins.

La plus « importante » est l’arrivée des polices COLRv1 Color Gradient Vector, ou plus simplement COLRv1. Cette évolution de COLRv0 améliore les capacités expressives (dégradés, transformations, compositions…), supporte les variations OpenType et une meilleure compression pour des polices plus légères.

Google prend l’exemple de la police Noto Color Emoji, dont la version bitmap pèse 9 Mo, contre 1,85 Mo pour COLRv1 après une compression WOFF2. Surtout, le rendu serait bien meilleur, notamment lorsque l’on zoome sur les emojis ou éléments graphiques. En clair, Google milite pour passer au vectoriel, ce qui avait par exemple été fait par Telegram pour ses emojis et stickers animés.

Chez Mozilla, on apprécie l’idée. Chez Apple, beaucoup moins. L’équipe derrière WebKit et Core Text a détaillé son opposition à ce nouveau format, qui réinventerait la roue selon elle, n’apporterait pas tant de bénéfices face à OT-SVG, augmenterait la taille des binaires, de la surface d’attaque et la maintenance.

On note plusieurs nouveautés cachées derrière des flags. Avec chrome://flags/#privacy-review, on peut par exemple tester un guide de vie privée destiné à faire le tour des paramètres de sécurité et de vie privée dans le navigateur. Le flag #lightweight-reactions-android permet pour sa part d’ajouter des emojis aux captures réalisées sur Android.

Précisons que les développeurs web peuvent maintenant forcer Chrome pour Android à rendre la version claire de leur site. Jusqu’à présent, Android basculait les sites clairs en sombre quand un thème sombre avait été défini pour le système par l’utilisateur. Une conversion automatique qui entraînait parfois des incohérences graphiques.

Les développeurs ont d’ailleurs droit à une flopée d’améliorations, par exemple avec l’accès en pleine page de l’arbre d’accessibilité. Les changements dans l’onglet dédié sont plus précis, on peut définir un Timeout plus long dans le Recorder (pour toutes les étapes ou une étape spécifique), on peut s’assurer que les pages peuvent être mises en cache avec un nouvel onglet dédié, etc.

Pour les aider à se préparer à Chrome 100, un flag #force-major-version-to-100 permet de tester le comportement de leurs tests. Pour rappel, une version 100 pourrait être vue comme une version 10, entraînant de nombreux problèmes potentiels.

Enfin, Chrome 98 colmate 19 vulnérabilités, dont 8 critiques.

• Télécharger Chrome
• Liste des nouveautés pour les développeurs

Le client passe en version 16.6.0 avec une nouvelle page d’accueil ainsi qu’un système de notifications avancé et optimisé pour une utilisation sur mobile.

La société affirme que « recevoir sur son smartphone un appel-vidéo chiffré de bout en bout devient maintenant aussi naturel que de recevoir un simple appel téléphonique ». 

Elle rappelle qu’elle « propose l’unique technologie de visioconférence à être certifiée CSPN et qualifiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ». L’offre est payante : 2880 euros HT par an pour 20 organisateurs, après un essai gratuit de 30 jours.

L’extension Multi-Account Containers permet depuis plusieurs années de segmenter les cookies entre les onglets. Un cas classique d’utilisation est d’avoir plusieurs onglets du même service avec des comptes différents. Il empêche également les cookies de déborder et de partir à la pêche aux informations, très utile avec les réseaux sociaux.

Pour les abonnés au VPN de Mozilla, les deux fonctions peuvent maintenant se mélanger pour « ajouter une couche supplémentaire de vie privée en protégeant votre activité de navigation et vous permettant de définir un serveur de sortie différent dans un emplacement différent pour chacun de vos conteneurs », explique Mozilla.

En clair, on peut choisir un emplacement spécifique pour chaque onglet utilisant la fonction conteneur. Mozilla donne plusieurs exemples, dont celui où l’on choisit un point de sortie proches d’amis vivant ailleurs (voire dans un autre pays) pour bénéficier de la recherche locale et leur faire livrer un cadeau plus rapidement.

Les applications Android et iOS du VPN deviennent de leur côté compatibles avec la fonction multi-hop, qui permet de définir deux serveurs au lieu d’un. Mozilla rappelle que cette capacité concerne surtout les personnes souhaitant être très vigilantes sur leur privée et cite en exemple les journalistes et les activistes politiques.

Pour rappel, le prix mensuel de l’abonnement à ce VPN est de 9,99 euros. Le tarif descend à 6,99 euros en achetant six mois, ou 4,99 euros en achetant un an.