Google révèle les détails d'une nouvelle faille dans Windows, avec prototype d'exploitation

Message par **chantal11** » lun. 27 févr. 2017 19:14

Bonjour,

Google révèle les détails d'une nouvelle faille dans Windows, avec prototype d'exploitation

Google vient à nouveau de dévoiler les détails d’une faille de sécurité dans Windows. Comme les fois précédentes, le Project Zero en détaille le fonctionnement, Microsoft n’ayant pas réagi durant le délai de 90 jours. C’est la troisième fois depuis le début de février.

Le Project Zero de Google réunit un certain nombre d’employés de l’entreprise, dont la mission est débusquer et signaler les failles aux éditeurs concernés. Le règlement, bien qu’assoupli il y a quelques mois, reste strict : une entreprise a 90 jours pour réagir à la remontée faite par Google, sans quoi les détails seront publiés, éventuellement accompagnés d’un prototype d’exploitation.

Troisième fois en moins d'un mois

Sur le seul début d’année 2017, le Project Zero a déjà publié deux fois les détails de brèches signalées à Microsoft, qui n’a pas réagi dans les temps. Il faut en ajouter une troisième : après SMB et la GDI, place à Internet Explorer 11 et Edge.

Les deux navigateurs sont touchés par une vulnérabilité (CVE-2017-0037) qui peut entrainer un plantage, ouvrant la voie à une potentielle attaque à distance, dont le résultat serait une élévation des privilèges. Le chercheur ayant découvert le problème, Ivan Fratric, parle de « confusion des types ». Une page web spécialement conçue (code spécifique dans les CSS et le JavaScript), pourrait aboutir à une exécution de code à distance.

La dangerosité de la faille n’est pas directement abordée, mais tout porte à croire qu’elle est élevée puisqu’il y aurait exécution d’instructions distantes, sans que l’utilisateur n’ait à valider quoi que ce soit. Et malheureusement pour Microsoft, les explications d’Ivan Fratric sont accompagnées d’un prototype d’exploitation.

Lire la suite sur NextInpact