En l’absence de Patch Tuesday, Google se paye IE et Edge

Microsot Edge - Spartan

Et de deux. L’équipe de Project Zero de Google ne laisse aucun répit à Microsoft. Après avoir dévoilé la semaine dernière une faille zero day dans Windows, les mêmes spécialistes de la sécurité récidivent en publiant une autre vulnérabilité critique touchant IE et Edge.

Cette faille a été découverte par Ivan Fratric et porte l’identification CVE-2017-0037. Elle s’apparente à une confusion de type, un défaut de sécurité permettant à un attaquant d’exécuter du code sur un PC compromis et de prendre le contrôle du terminal.

Un PoC publié

Les équipes de Google ont donné dans un billet de blog des détails sur cette vulnérabilité qui se situe dans HandleColumnBreakOnColumnSpanningElement. Elles ont réalisé un prototype d’attaque (PoC) touchant 2 variables (rcx et rax), capable de provoquer le blocage des deux navigateurs. Le code de ce PoC a été mis en ligne suivant les règles habituelles de Google en la matière. Ce dernier a découvert ce bug à la fin du mois de novembre et l’a publié après le délai limite de 90 jours accordé aux éditeurs pour corriger les failles.

Or, dans le cas de Microsoft, la décision de reporter le Patch Tuesday de février à mars n’est ici pas sans conséquence. Rendu public, le code du PoC pourrait être réutilisé par des pirates pour l’améliorer et le renforcer. Et, en l’absence de correctifs de l’éditeur, les PC des clients sont vulnérables. Surtout que la dernière publication de Project Zero concerne les navigateurs IE et Edge. En général, les spécialistes de la sécurité recommandent d’appliquer en priorité les mises à jour pour les navigateurs, très utilisés en entreprises. Ironie du sort, le Patch Tuesday de février devait marquer l’arrivée des Update Tuesday, intégrant notamment des correctifs séparés pour les navigateurs. Il faudra attendre le 14 mars pour corriger l’ensemble des failles découvertes par les experts de Google.

Cloudflare : une coquille dans le code expose des données utilisateurs