Vulnérabilité locale des extensions Chrome : évasion du bac à sable
Une vulnérabilité de sécurité critique a été découverte dans les extensions Chrome. Des extensions malveillantes peuvent communiquer avec des serveurs du protocole Model Context Protocol (MCP) s’exécutant en local, contournant le bac à sable de Chrome et accédant à des ressources sensibles telles que le système de fichiers local, Slack, WhatsApp et, potentiellement, prenant le contrôle total de l’hôte. Cette vulnérabilité affecte toutes les extensions Chrome sans nécessiter de permissions spéciales. La cause principale est l’absence courante d’authentification sur les serveurs MCP, permettant un accès non authentifié. Des chercheurs ont démontré l’accès au système de fichiers et à Slack. Cela souligne le besoin urgent d’une sécurité améliorée lors de l’exécution de serveurs MCP locaux et représente une menace significative pour la sécurité des entreprises.
Lire plus