Le 20 octobre, Google a publié une mise à jour de son navigateur Chrome proposant la correction de cinq vulnérabilités de sécurité. Référencée CVE-2020-15999, une vulnérabilité de type dépassement de tampon était en rapport avec la bibliothèque logicielle FreeType pour les polices de caractères.

Lors de la publication, Google avait évoqué des rapports au sujet d'un exploit dans la nature pour la vulnérabilité CVE-2020-15999. Désormais, Google divulgue une vulnérabilité 0day référencée CVE-2020-17087 affectant... Windows et en lien avec son utilisation de fonctions cryptographiques (le Kernel Cryptography Driver ; cng.sys).

Lorsqu'elles sont associées, les deux vulnérabilités CVE-2020-15999 et CVE-2020-17087 permettent l'exécution de code malveillant dans Chrome et un échappement de la sandbox du navigateur à la suite d'une élévation de privilèges.

securite

Les hackers d'élite de Project Zero intransigeants

La divulgation de la vulnérabilité 0day dans Windows a lieu sous l'égide de Project Zero de Google. " Nous avons la preuve que le bug est utilisé dans la nature. Par conséquent, ce bug est soumis à un délai de divulgation de 7 jours. " Un délai qui a donc expiré, alors que Microsoft avait été prévenu en amont.

Microsoft devrait corriger la vulnérabilité le 10 novembre prochain, dans le cadre de son Update Tuesday (officieusement Patch Tuesday) du mois de novembre. Google précise que l'exploitation n'est pas en rapport avec les élections américaines.

Ce n'est pas la première fois que Project Zero de Google met ainsi la pression sur Microsoft qui ne devrait guère apprécier une fois de plus. En fonction de l'urgence, Microsoft peut faire exception à son Patch Tuesday en mettant à disposition un correctif hors de ce cadre.