Microsot Edge - Spartan
Et de deux. L’équipe de Project Zero de Google ne laisse aucun répit à Microsoft. Après avoir dévoilé la semaine dernière une faille zero day dans Windows, les mêmes spécialistes de la sécurité récidivent en publiant une autre vulnérabilité critique touchant IE et Edge.
Cette faille a été découverte par Ivan Fratric et porte l’identification CVE-2017-0037. Elle s’apparente à une confusion de type, un défaut de sécurité permettant à un attaquant d’exécuter du code sur un PC compromis et de prendre le contrôle du terminal.
Les équipes de Google ont donné dans un billet de blog des détails sur cette vulnérabilité qui se situe dans HandleColumnBreakOnColumnSpanningElement. Elles ont réalisé un prototype d’attaque (PoC) touchant 2 variables (rcx et rax), capable de provoquer le blocage des deux navigateurs. Le code de ce PoC a été mis en ligne suivant les règles habituelles de Google en la matière. Ce dernier a découvert ce bug à la fin du mois de novembre et l’a publié après le délai limite de 90 jours accordé aux éditeurs pour corriger les failles.
Or, dans le cas de Microsoft, la décision de reporter le Patch Tuesday de février à mars n’est ici pas sans conséquence. Rendu public, le code du PoC pourrait être réutilisé par des pirates pour l’améliorer et le renforcer. Et, en l’absence de correctifs de l’éditeur, les PC des clients sont vulnérables. Surtout que la dernière publication de Project Zero concerne les navigateurs IE et Edge. En général, les spécialistes de la sécurité recommandent d’appliquer en priorité les mises à jour pour les navigateurs, très utilisés en entreprises. Ironie du sort, le Patch Tuesday de février devait marquer l’arrivée des Update Tuesday, intégrant notamment des correctifs séparés pour les navigateurs. Il faudra attendre le 14 mars pour corriger l’ensemble des failles découvertes par les experts de Google.
A lire aussi :
Google met à jour une faille zero-day de Windows
Cloudflare : une coquille dans le code expose des données utilisateurs
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…