Microsoft Edge : Google révèle une grave faille de sécurité encore active

 

Le Google Project Zero vient de révéler une grave faille de sécurité dans Edge, sans que Microsoft n’ait pu pour l’instant la corriger. La faille permet à une personne mal intentionnée d’exécuter du code arbitraire à partir d’une page web. Microsoft n’a pas eu le temps d’intégrer le correctif lors de son patch Tuesday, arguant que des modifications profondes dans le fonctionnement du navigateur sont nécessaires. Il est recommandé de ne pas utiliser Edge jusqu’à ce que le problème soit réglé.

edge

Microsoft vient de rater son patch Tuesday, obligeant Google à révéler l’une des failles de sécurité encore actives dans Edge. Celle-ci est d’ailleurs assez grave puisqu’elle permet à une personne mal intentionnée d’exécuter du code arbitraire sur n’importe quelle machine sous Windows 10 à partir d’une page web. Le navigateur est normalement protégé par Arbitrary Code Guard, un dispositif qui exige du code signé pour l’exécuter dans le navigateur. Or les compilateurs Just-in-Time (JIT) permettent de contourner cette protection, en exécutant potentiellement n’importe quel code dans un nouveau processus du navigateur sans besoin d’une signature.

Microsoft Edge : Google révèle une grave faille de sécurité qui reste encore non corrigée

Or bien que Microsoft soit au courant de cette vulnérabilité depuis 90 jours, ses ingénieurs n’ont pas été en mesure de corriger la faille à temps. C’est que la tâche est plus compliquée qu’il n’y paraît : Microsoft explique en effet qu’il doit porter son compilateur dans un nouvel environnement sandboxé. De quoi justifier « une tache d’ingénierie non-négligeable » selon Microsoft. Mais le Google Project Zero reste fidèle à ses principes et a donc choisi de révéler la faille quand même. Une manière, on imagine, d’inciter l’éditeur à faire preuve de davantage de réactivité. Microsoft précise : « l’équipe est convaincue que [le correctif] sera livré le 13 mars« .

Alors que faire en attendant ? Le conseil le plus simple est sans doute d’éviter Edge, au profit de navigateurs internet concurrents. Le risque est en effet réel que des malware se retrouvent installés à votre insu simplement en se baladant sur le net…



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…