Microsoft Edge : Google révèle une grave faille de sécurité encore active

Le Google Project Zero vient de révéler une grave faille de sécurité dans Edge, sans que Microsoft n’ait pu pour l’instant la corriger. La faille permet à une personne mal intentionnée d’exécuter du code arbitraire à partir d’une page web. Microsoft n’a pas eu le temps d’intégrer le correctif lors de son patch Tuesday, arguant que des modifications profondes dans le fonctionnement du navigateur sont nécessaires. Il est recommandé de ne pas utiliser Edge jusqu’à ce que le problème soit réglé.

edge

Microsoft vient de rater son patch Tuesday, obligeant Google à révéler l’une des failles de sécurité encore actives dans Edge. Celle-ci est d’ailleurs assez grave puisqu’elle permet à une personne mal intentionnée d’exécuter du code arbitraire sur n’importe quelle machine sous Windows 10 à partir d’une page web. Le navigateur est normalement protégé par Arbitrary Code Guard, un dispositif qui exige du code signé pour l’exécuter dans le navigateur. Or les compilateurs Just-in-Time (JIT) permettent de contourner cette protection, en exécutant potentiellement n’importe quel code dans un nouveau processus du navigateur sans besoin d’une signature.

Microsoft Edge : Google révèle une grave faille de sécurité qui reste encore non corrigée

Or bien que Microsoft soit au courant de cette vulnérabilité depuis 90 jours, ses ingénieurs n’ont pas été en mesure de corriger la faille à temps. C’est que la tâche est plus compliquée qu’il n’y paraît : Microsoft explique en effet qu’il doit porter son compilateur dans un nouvel environnement sandboxé. De quoi justifier « une tache d’ingénierie non-négligeable » selon Microsoft. Mais le Google Project Zero reste fidèle à ses principes et a donc choisi de révéler la faille quand même. Une manière, on imagine, d’inciter l’éditeur à faire preuve de davantage de réactivité. Microsoft précise : « l’équipe est convaincue que [le correctif] sera livré le 13 mars« .

Alors que faire en attendant ? Le conseil le plus simple est sans doute d’éviter Edge, au profit de navigateurs internet concurrents. Le risque est en effet réel que des malware se retrouvent installés à votre insu simplement en se baladant sur le net…

Réagissez à cet article !
  • Spitfire

    Et oui ! https://uploads.disquscdn.com/images/ae72af65210ec19d65f99b16bf4775cbcb214d5203bd04bd087cc7de974f4021.png

  • Anthorama

    Qu’ils sont con chez Google quand même. Les plus vulnérables qui utilisent ce navigateur sont maintenant en danger ! (bon, pas de mort, mais quand même)

    • joe2x

      Ils sont plutot malin tu veux dire. La plus part des gens ne vont pas aller sur Firefox mais sur Chrome pour ceux qui sont au courant de la faille. Ils récupèrent ainsi des part de marchés supplémentaires

      • Anthorama

        Donc ils pensent à eux, pas aux gens. On est d’accord

        • Sandra Barjos

          Au jeu des déductions on peut aussi dire que, chez Microsoft, ils pensent à eux, pas aux gens. Dans le cas contraire leur navigateur serait plus sûr, il faut se donner les moyens de ses ambitions.

          • Anthorama

            Non. Des erreurs de code et des failles il y en aura toujours et c’est pas la dernière qu’il y aura, chez Microsoft ou chez les autres d’ailleurs.

          • Lulu

            Ça ne marche pas comme ça, Chaque vulnérabilité fait l’objet d’une publi pour la communauté scientifique. Le but étant de tous les répertorier pour pouvoir les corriger ou ne plus commettre de nouveau la même erreur. Project Zero laisse un délai significatif avant de divulguer publiquement la vulnérabilité (entre temps, elle est éventuellement connue par plusieurs groupes de hackers). Et ça a toujours fonctionné ainsi dans plusieurs disciplines scientifiques.

            A ne pas oublier que Microsoft n’avait rien fait pour corriger leur faille Win8.1 en 2014, même après que Project Zero l’ait notifié. Il fallait attendre que Project Zero dévoile publiquement la faille pour que Microsoft décide de débloquer un budget pour la correction de sa faille.
            La vérité est que corriger une faille, ça demande du temps et de l’argent et que Microsoft avait jugé pas nécessaire de la corriger tant que la faille n’était pas compromise.
            Project Zero part du principe qu’il vaut mieux prévenir que guérir.

            Il n’y a pas de ruse, de pression morale ou d’extorsion exercées par Project Zero, Ce sont des chercheurs et ce n’est pas la seule structure qui agissent ainsi.

        • joe2x

          Les entreprises pensent avant tout à leur business. Après ils semblerait que la faille n’ait pas été révélé tout de suite. J’estime que quand on est en position, Google et MS, on assume et on fait en sorte de corriger les failles aux plus vites. MS a manqué à ses obligations.

    • Lulu

      En 2014, Project Zero avait notifié Microsoft d’une faille Windows 8.1 qui pouvait attribuer les droits d’admin à n’importe qui. Microsoft n’avait pas du tout l’intention de corriger la vulnérabilité. 90 jours plus tard, la faille n’étant toujours pas corrigée, Project Zero la divulgue publiquement (Ils laissent toujours un délai de 90 jours pour que la boite puisse faire leur correction). Ca a permis aux utilisateurs Windows de remettre en question l’engagement de Microsoft sur leur sécurité et ils ont réussi à inciter l’entreprise à corriger.
      Le plus con, ça aurait été de ne pas mettre les utilisateurs au courant en les laissant exposés à une faille de sécurité.

      Le boulot de Project Zero ne doit pas être minimisé, les mecs ont réussi à couvrir pas mal de vunérabilités qui auraient pu être catastrophiques pour beaucoup (récemment avec Meltdown et Spectre). A ne pas oublier que le Project Zero, c’est une équipe de chercheurs. Qu’il n’y a pas de manœuvre cachée pour attirer les utilisateurs sur les services Google car d’une, leur but c’est de révéler des vulnéraibilités qui n’ont pas fait l’objet de publications, et de deux… même les failles des services Google sont scrutées par Project Zero…C’est la raison pour laquelle Google garantit la correction de ses failles zero day dans un délai de 90 jours

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !