Microsoft Edge : Google révèle une grave faille de sécurité encore active

Le Google Project Zero vient de révéler une grave faille de sécurité dans Edge, sans que Microsoft n’ait pu pour l’instant la corriger. La faille permet à une personne mal intentionnée d’exécuter du code arbitraire à partir d’une page web. Microsoft n’a pas eu le temps d’intégrer le correctif lors de son patch Tuesday, arguant que des modifications profondes dans le fonctionnement du navigateur sont nécessaires. Il est recommandé de ne pas utiliser Edge jusqu’à ce que le problème soit réglé.

edge

Microsoft vient de rater son patch Tuesday, obligeant Google à révéler l’une des failles de sécurité encore actives dans Edge. Celle-ci est d’ailleurs assez grave puisqu’elle permet à une personne mal intentionnée d’exécuter du code arbitraire sur n’importe quelle machine sous Windows 10 à partir d’une page web. Le navigateur est normalement protégé par Arbitrary Code Guard, un dispositif qui exige du code signé pour l’exécuter dans le navigateur. Or les compilateurs Just-in-Time (JIT) permettent de contourner cette protection, en exécutant potentiellement n’importe quel code dans un nouveau processus du navigateur sans besoin d’une signature.

Microsoft Edge : Google révèle une grave faille de sécurité qui reste encore non corrigée

Or bien que Microsoft soit au courant de cette vulnérabilité depuis 90 jours, ses ingénieurs n’ont pas été en mesure de corriger la faille à temps. C’est que la tâche est plus compliquée qu’il n’y paraît : Microsoft explique en effet qu’il doit porter son compilateur dans un nouvel environnement sandboxé. De quoi justifier « une tache d’ingénierie non-négligeable » selon Microsoft. Mais le Google Project Zero reste fidèle à ses principes et a donc choisi de révéler la faille quand même. Une manière, on imagine, d’inciter l’éditeur à faire preuve de davantage de réactivité. Microsoft précise : « l’équipe est convaincue que [le correctif] sera livré le 13 mars« .

Alors que faire en attendant ? Le conseil le plus simple est sans doute d’éviter Edge, au profit de navigateurs internet concurrents. Le risque est en effet réel que des malware se retrouvent installés à votre insu simplement en se baladant sur le net…

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !