Pour gérer vos consentements :
Categories: Sécurité

Sécurité : les failles 0-day se suivent… et se ressemblent

Qu’est-ce qui ressemble à une faille 0-day ? Une autre faille 0-day, surtout si la première n’a pas été bien corrigée. C’est le sens d’une présentation qu’une membre de l’équipe Google Project Zero a faite à l’occasion de la conférence USENIX Enigma 2021.

L’intéressée recense vingt-quatre failles de ce type patchées en 2020. Elle affirme que six d’entre elles dérivaient de vulnérabilités connues… toutes censées avoir été colmatées. Or, il suffisait parfois de modifier une ou deux lignes d’un code malveillant pour le réactiver.

Illustration avec la faille CVE-2020-0674, logée dans le moteur de script d’Internet Explorer. Elle arrive en bout d’une chaîne qui comprend quatre autres failles remontant jusqu’à 2018. Il semble que le même acteur les ait toutes exploitées. En s’appuyant, tout du long, sur diverses occurrences d’un bug : la mauvaise gestion de variables par le ramasse-miettes.

On retrouve de telles chaînes avec les cinq autres failles en question. Dans certains cas, le levier d’activation est le même, mais se trouve à un autre endroit du programme vulnérable. Dans d’autres, c’est simplement le contenu d’une entrée qui change. La plus ancienne des « failles mères » date de 2014.

Dans ce contexte, Project Zero invite éditeurs et chercheurs à élargir leur vision. Les premiers, en portant leur analyse des failles au-delà des PoC qu’on leur présente. Les seconds, en explorant le champ des attaques associées aux bugs qu’ils découvrent. Et cela implique un réflexe d’analyse des variantes.

Illustration principale © GlebStock – shutterstock.com

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago