La faille Google Chrome en couple (critique) avec une 0day pour Windows 7

Le par  |  13 commentaire(s)
Windows 7

Associée à une 0day de Windows 7, la vulnérabilité de Google Chrome au niveau de FileReader permettait une exploitation en contournant la protection sandbox.

A posteriori (après la diffusion d'une mise à jour correctrice), Google a révélé - sans toutefois entrer dans les détails - que son navigateur Chrome était affecté par une vulnérabilité de sécurité (CVE-2019-5786) exploitée dans des attaques.

De type corruption de mémoire avec un accès après libération, la vulnérabilité concerne FileReader qui permet à des applications web de lire de manière asynchrone les contenus de fichiers stockés en local. Dans sa classification, Google lui confère un degré de dangerosité haut (mais pas critique).

hackerPour autant, Google dévoile désormais que cette faille a été associée à une 0day affectant Windows pour mener des attaques ciblées. En l'occurrence, une vulnérabilité de type élévation de privilèges en local touchant le pilote en mode noyau win32k.sys.

Cette vulnérabilité actuellement non corrigée ne serait exploitable qu'avec Windows 7, dans la mesure où des solutions d'atténuation ont été ajoutées dans les nouvelles versions de Windows. Google souligne par ailleurs n'avoir observé une exploitation active qu'à l'encontre de Windows 7 en 32 bits.

" La vulnérabilité non corrigée de Windows peut toujours être utilisée pour une élévation de privilèges ou associée avec une autre vulnérabilité d'un navigateur afin de contourner la sécurité sandbox (ndlr : c'est donc critique). Microsoft nous a dit qu'ils travaillent sur un correctif ", écrit Clement Lecigne du Threat Analysis Group de Google.

Il conseille aux utilisateurs de sérieusement penser à l'éventualité d'une mise à niveau vers Windows 10 s'ils ont recours à une ancienne version de Windows. Rappelons que la fin de support pour Windows 7 est pour le 14 janvier 2020.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2054074

Google a révélé - sans toutefois entrer dans les détails



Ah ça quand c'est pour balancer les failles des autres y a du monde, mais pour parler des siennes, y a plus personne !!!
Le #2054075
FRANCKYIV a écrit :


Google a révélé - sans toutefois entrer dans les détails



Ah ça quand c'est pour balancer les failles des autres y a du monde, mais pour parler des siennes, y a plus personne !!!


C'est l'avantage de trouver ses propres failles. Les autres ne font pas tous cet effort donc rien d'étonnant.
Le #2054078
J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique
Le #2054131
skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?
Le #2054143
TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.
Le #2054146
skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


ah je connaissais DSI mais pas DSSI merci
Le #2054173
snifer a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


ah je connaissais DSI mais pas DSSI merci


C'est pour les très grosses structures
Le #2054180
skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...
Le #2054184
TheDarkgg a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...


En exclu : Skynet au boulot :

Adresse Web :
https://pmcdn.priceminister.com/photo/Infirmiere-Homme-1176941028_L.jpg


Le #2054186
FRANCKYIV a écrit :

TheDarkgg a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...


En exclu : Skynet au boulot :

Adresse Web :
https://pmcdn.priceminister.com/photo/Infirmiere-Homme-1176941028_L.jpg




Oh mon dieu ça va trop loin !
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme