Pour gérer vos consentements :

En l’absence de Patch Tuesday, Google se paye IE et Edge

Et de deux. L’équipe de Project Zero de Google ne laisse aucun répit à Microsoft. Après avoir dévoilé la semaine dernière une faille zero day dans Windows, les mêmes spécialistes de la sécurité récidivent en publiant une autre vulnérabilité critique touchant IE et Edge.

Cette faille a été découverte par Ivan Fratric et porte l’identification CVE-2017-0037. Elle s’apparente à une confusion de type, un défaut de sécurité permettant à un attaquant d’exécuter du code sur un PC compromis et de prendre le contrôle du terminal.

Un PoC publié

Les équipes de Google ont donné dans un billet de blog des détails sur cette vulnérabilité qui se situe dans HandleColumnBreakOnColumnSpanningElement. Elles ont réalisé un prototype d’attaque (PoC) touchant 2 variables (rcx et rax), capable de provoquer le blocage des deux navigateurs. Le code de ce PoC a été mis en ligne suivant les règles habituelles de Google en la matière. Ce dernier a découvert ce bug à la fin du mois de novembre et l’a publié après le délai limite de 90 jours accordé aux éditeurs pour corriger les failles.

Or, dans le cas de Microsoft, la décision de reporter le Patch Tuesday de février à mars n’est ici pas sans conséquence. Rendu public, le code du PoC pourrait être réutilisé par des pirates pour l’améliorer et le renforcer. Et, en l’absence de correctifs de l’éditeur, les PC des clients sont vulnérables. Surtout que la dernière publication de Project Zero concerne les navigateurs IE et Edge. En général, les spécialistes de la sécurité recommandent d’appliquer en priorité les mises à jour pour les navigateurs, très utilisés en entreprises. Ironie du sort, le Patch Tuesday de février devait marquer l’arrivée des Update Tuesday, intégrant notamment des correctifs séparés pour les navigateurs. Il faudra attendre le 14 mars pour corriger l’ensemble des failles découvertes par les experts de Google.

A lire aussi :

Google met à jour une faille zero-day de Windows

Cloudflare : une coquille dans le code expose des données utilisateurs

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

1 jour ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

1 jour ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

1 jour ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

2 jours ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

2 jours ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago