La faille Google Chrome en couple (critique) avec une 0day pour Windows 7

Le par Jérôme G.  |  13 commentaire(s)
Windows 7

Associée à une 0day de Windows 7, la vulnérabilité de Google Chrome au niveau de FileReader permettait une exploitation en contournant la protection sandbox.

A posteriori (après la diffusion d'une mise à jour correctrice), Google a révélé - sans toutefois entrer dans les détails - que son navigateur Chrome était affecté par une vulnérabilité de sécurité (CVE-2019-5786) exploitée dans des attaques.

De type corruption de mémoire avec un accès après libération, la vulnérabilité concerne FileReader qui permet à des applications web de lire de manière asynchrone les contenus de fichiers stockés en local. Dans sa classification, Google lui confère un degré de dangerosité haut (mais pas critique).

hackerPour autant, Google dévoile désormais que cette faille a été associée à une 0day affectant Windows pour mener des attaques ciblées. En l'occurrence, une vulnérabilité de type élévation de privilèges en local touchant le pilote en mode noyau win32k.sys.

Cette vulnérabilité actuellement non corrigée ne serait exploitable qu'avec Windows 7, dans la mesure où des solutions d'atténuation ont été ajoutées dans les nouvelles versions de Windows. Google souligne par ailleurs n'avoir observé une exploitation active qu'à l'encontre de Windows 7 en 32 bits.

" La vulnérabilité non corrigée de Windows peut toujours être utilisée pour une élévation de privilèges ou associée avec une autre vulnérabilité d'un navigateur afin de contourner la sécurité sandbox (ndlr : c'est donc critique). Microsoft nous a dit qu'ils travaillent sur un correctif ", écrit Clement Lecigne du Threat Analysis Group de Google.

Il conseille aux utilisateurs de sérieusement penser à l'éventualité d'une mise à niveau vers Windows 10 s'ils ont recours à une ancienne version de Windows. Rappelons que la fin de support pour Windows 7 est pour le 14 janvier 2020.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
FRANCKYIV offline Hors ligne VIP icone 59421 points
Premium
Le #2054074

Google a révélé - sans toutefois entrer dans les détails



Ah ça quand c'est pour balancer les failles des autres y a du monde, mais pour parler des siennes, y a plus personne !!!
FFFeu offline Hors ligne VIP icone 10553 points
Le #2054075
FRANCKYIV a écrit :


Google a révélé - sans toutefois entrer dans les détails



Ah ça quand c'est pour balancer les failles des autres y a du monde, mais pour parler des siennes, y a plus personne !!!


C'est l'avantage de trouver ses propres failles. Les autres ne font pas tous cet effort donc rien d'étonnant.
skynet offline Hors ligne VIP icone 90300 points
Le #2054078
J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique
TheDarkgg offline Hors ligne Vénéré icone 3013 points
Le #2054131
skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?
skynet offline Hors ligne VIP icone 90300 points
Le #2054143
TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.
snifer offline Hors ligne Vétéran icone 2034 points
Le #2054146
skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


ah je connaissais DSI mais pas DSSI merci
skynet offline Hors ligne VIP icone 90300 points
Le #2054173
snifer a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


ah je connaissais DSI mais pas DSSI merci


C'est pour les très grosses structures
TheDarkgg offline Hors ligne Vénéré icone 3013 points
Le #2054180
skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...
FRANCKYIV offline Hors ligne VIP icone 59421 points
Premium
Le #2054184
TheDarkgg a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...


En exclu : Skynet au boulot :

Adresse Web :
https://pmcdn.priceminister.com/photo/Infirmiere-Homme-1176941028_L.jpg


TheDarkgg offline Hors ligne Vénéré icone 3013 points
Le #2054186
FRANCKYIV a écrit :

TheDarkgg a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...


En exclu : Skynet au boulot :

Adresse Web :
https://pmcdn.priceminister.com/photo/Infirmiere-Homme-1176941028_L.jpg




Oh mon dieu ça va trop loin !
icone Suivre les commentaires
Poster un commentaire