Une vulnérabilité non patchée dans le navigateur permet l’exécution de code arbitraire sur la machine. Google a publié tous les détails techniques car Microsoft n’a pas pu la corriger dans les temps impartis.
C’est une nouvelle humiliation pour Microsoft. En
novembre dernier, les chercheurs en sécurité de Google Project Zero ont
découvert une faille de sécurité
dans le navigateur Edge qui permet à un attaquant de contourner les
protections du compilateur Javascript et d’accéder à une zone mémoire
pour y exécuter du code arbitraire. Une technique bien utile pour les
pirates. Ce qui est embêtant, c’est que ces derniers peuvent dès à
présent la mettre en pratique car les détails de cette faille viennent
d’être publiés par Google. En effet, le géant du web donne
systématiquement 90 jours aux éditeurs pour diffuser un correctif aux
failles trouvées, mais le délai a été dépassé.
Ce n’est pas la première fois que Google met ainsi le pistolet sur la tempe de Microsoft. Il y a un an, ses chercheurs avaient également trouvé des failles dans Edge et dans Windows que l’éditeur n’a pas corrigées à temps et dont les détails ont donc été publiés. A l’époque, les dirigeants de Redmond avaient poussé une gueulante, car ils n’avaient pas du tout apprécié d’être mis devant le fait accompli. Cette fois-ci, pas de remarque particulière. Chez Microsoft, les failles zero-day sont devenues une routine.
Pas de patch prévu pour le moment
Il y a quelques jours, Microsoft a alerté les chercheurs en sécurité sur le fait que le développement du patch était « plus complexe que prévu » et qu’il ne pourrait pas diffuser de correctif avant le 13 mars. Mais Google est resté inflexible. Par la suite, Microsoft a fait du rétropédalage et avoué qu’il ne pouvait pas, pour l’instant, s’engager sur une date pour le patch. Les utilisateurs de Edge se retrouvent donc avec un navigateur dotée d’une faille zero-day assez critique que les pirates vont pouvoir exploiter à cœur joie pendant au moins un mois.Ce n’est pas la première fois que Google met ainsi le pistolet sur la tempe de Microsoft. Il y a un an, ses chercheurs avaient également trouvé des failles dans Edge et dans Windows que l’éditeur n’a pas corrigées à temps et dont les détails ont donc été publiés. A l’époque, les dirigeants de Redmond avaient poussé une gueulante, car ils n’avaient pas du tout apprécié d’être mis devant le fait accompli. Cette fois-ci, pas de remarque particulière. Chez Microsoft, les failles zero-day sont devenues une routine.
REF.: Gilbert KALLENBORN
Aucun commentaire:
Publier un commentaire