Depuis le lancement du projet Google Zero, les chercheurs qui constituent l’équipe traquent les failles dans les systèmes et accordent un délai à l’éditeur (souvent de 90 jours) pour publier un correctif. Passé ce délai, ils publient les détails de la faille, ce qui va permettre à n’importe qui d’exploiter la vulnérabilité en question, mais mettra suffisamment de pression à l’éditeur pour l’obliger à la colmater au plus vite.
Si, au début du mois de février, l’équipe du projet Google Zero révélait une faille au sein d’une bibliothèque graphique de Windows (dont l’exploitation permet à un attaquant d’accéder et d’exfiltrer certaines informations potentiellement sensibles stockées dans la mémoire de la machine), cette fois-ci les chercheurs ont dévoilé une faille sur le navigateur Microsoft Edge, livré avec Windows 10, et Internet Explorer.
C’est le 25 novembre dernier que la vulnérabilité, désormais répertoriée comme étant CVE-2017-0037, a été signalée. Elle permet d’exploiter une confusion de type d’objet au sein des navigateurs, pouvant permettre à un attaquant de faire planter le navigateur.
Certains lecteurs ont été en mesure de reproduire l’exploit sur Internet Explorer 11, mais pas sur Edge 38. Aussi, ils ont posé des questions à l’équipe Google Zero. Visiblement, le chercheur à l’origine de la découverte a répondu avec le nom utilisé par tous les membres du projet (Project Member) : « je ne ferai pas d'autres commentaires sur l'exploitabilité, du moins pas jusqu'à ce que le bogue soit corrigé. Le rapport comporte trop d'informations sur ce dont il s’agit (je ne m'attendais pas vraiment à ce que l'on dépasse la date limite) ».
Il a quand même répondu à la question demandant son avis si c’était lui qui devait corriger le bogue : « la première étape consisterait à déterminer pourquoi la confusion de type s'est produite en premier lieu. Ajouter une vérification de type quelque part dans la fonction vulnérable pourrait être suffisant, mais cela pourrait également juste correspondre à corriger le symptôme et non la cause. Mon hypothèse est que, étant donné qu'il y a 2 types de colonnes dans DOM: html table columns et CSS columns, IE / Edge confond les deux ».
Il est fort probable que Microsoft corrige ce problème durant le prochain Patch Tuesday qui devrait arriver au début du mois de mars.
Source : Project Zero (détails sur la faille)
Et vous ?
Que pensez-vous de la politique du Project Zero ? Participe-t-elle à rendre l'écosystème des services et applications plus sûrs ? Pourquoi ?
Google publie des détails sur une faille non corrigée d'IE et Microsoft Edge
Qui a été signalée en fin novembre
Google publie des détails sur une faille non corrigée d'IE et Microsoft Edge
Qui a été signalée en fin novembre
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !