Pour gérer vos consentements :

Pour la seconde fois cette semaine, Google dévoile une faille non corrigée sur Edge

90 jours… C’est le temps imposé par Google Zero Project aux éditeurs pour corriger les failles découvertes par ses chercheurs avant de les dévoiler au grand public. Au-delà de ce délai, la faille et son exploitation sont divulguées même si l’éditeur n’a pas eu le temps de la corriger et malgré les risques de la voir largement exploitée par les cybercriminels suite à sa publication. C’est cette deadline que Microsoft a, par deux fois en une semaine, manqué. Deux failles de sécurité non corrigées au sein du navigateur Edge ont ainsi été dévoilées coup sur coup par les chercheurs de Google Zero Project avant que Microsoft n’ait pu patcher son navigateur.

Dans la première, dévoilée Lundi, les chercheurs ont trouvé un moyen de contourner l’un des boucliers de Edge (ACG, Arbitrary Code Guard) et d’exécuter du code malveillant en mémoire depuis un site Web. Jugée d’une sévérité moyenne par Google, la faille n’est pas aisée à exploiter. Microsoft avait averti les chercheurs de Google que « la rustine étant plus complexe à réaliser que nous ne l’avions anticipé, nous manquerons la deadline de février mais nous pensons pouvoir diffuser un correctif à partir du 13 mars ». Malgré cette réponse et inflexible sur sa politique, Google a rendu publique la vulnérabilité en début de semaine.

La seconde faille a été divulguée hier. C’est une nouvelle fois Edge, le navigateur par défaut de Windows 10, qui mis en cause. Elle permet à l’attaquant d’acquérir des privilèges administrateur sur la machine à partir d’un profil utilisateur standard. Qualifiée comme « sévère » par le chercheur de Google, la faille est jugée « importante » mais pas critique par Microsoft puisqu’elle ne peut être exploitée à distance et nécessite un accès direct à la machine attaquée. On ignore quand ce dernier procèdera à la correction.
Signalons que les chercheurs de Google avaient également découvert une autre faille similaire, toujours sous Edge (CVE-2018-0826), qui a, quant à elle, été corrigée en temps et en heure par Microsoft le 13 février dernier.

En Novembre 2016, le ton était monté entre les deux géants après que Google ait divulgué une faille critique avant la diffusion du correctif. Pour Microsoft, divulguer une faille avant qu’elle ait été corrigée est un acte inconscient et dangereux. C’est en effet du pain béni pour les cybercriminels de pouvoir sans effort profiter d’une vulnérabilité non corrigée. De son côté, Google juge plus que raisonnable le délai de 90 jours et estime que cette deadline contribue à mettre la pression sur l’éditeur afin qu’il corrige rapidement la faille.
Cette double divulgation par Google Project Zero et cette double défaillance de Microsoft à corriger ses failles dans les temps ne vont probablement pas contribuer à apaiser le débat entre les deux géants.

(Crédit photo : Microsoft)

Recent Posts

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

5 heures ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

10 heures ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

11 heures ago

Twitter : Elon Musk joue les équilibristes

Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…

3 jours ago

Cybersécurité : CyberArk crée un fonds doté de 30 millions $

Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…

3 jours ago

Silicon Day Workplace : quelle Digital Workplace à l’heure du travail hybride ?

Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…

3 jours ago