La faille Google Chrome en couple (critique) avec une 0day pour Windows 7

Le par Jérôme G.  |  13 commentaire(s)
Windows 7

Associée à une 0day de Windows 7, la vulnérabilité de Google Chrome au niveau de FileReader permettait une exploitation en contournant la protection sandbox.

A posteriori (après la diffusion d'une mise à jour correctrice), Google a révélé - sans toutefois entrer dans les détails - que son navigateur Chrome était affecté par une vulnérabilité de sécurité (CVE-2019-5786) exploitée dans des attaques.

De type corruption de mémoire avec un accès après libération, la vulnérabilité concerne FileReader qui permet à des applications web de lire de manière asynchrone les contenus de fichiers stockés en local. Dans sa classification, Google lui confère un degré de dangerosité haut (mais pas critique).

hackerPour autant, Google dévoile désormais que cette faille a été associée à une 0day affectant Windows pour mener des attaques ciblées. En l'occurrence, une vulnérabilité de type élévation de privilèges en local touchant le pilote en mode noyau win32k.sys.

Cette vulnérabilité actuellement non corrigée ne serait exploitable qu'avec Windows 7, dans la mesure où des solutions d'atténuation ont été ajoutées dans les nouvelles versions de Windows. Google souligne par ailleurs n'avoir observé une exploitation active qu'à l'encontre de Windows 7 en 32 bits.

" La vulnérabilité non corrigée de Windows peut toujours être utilisée pour une élévation de privilèges ou associée avec une autre vulnérabilité d'un navigateur afin de contourner la sécurité sandbox (ndlr : c'est donc critique). Microsoft nous a dit qu'ils travaillent sur un correctif ", écrit Clement Lecigne du Threat Analysis Group de Google.

Il conseille aux utilisateurs de sérieusement penser à l'éventualité d'une mise à niveau vers Windows 10 s'ils ont recours à une ancienne version de Windows. Rappelons que la fin de support pour Windows 7 est pour le 14 janvier 2020.


  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
FRANCKYIV Absent VIP icone 50885 points
Premium
Le #2054074

Google a révélé - sans toutefois entrer dans les détails



Ah ça quand c'est pour balancer les failles des autres y a du monde, mais pour parler des siennes, y a plus personne !!!
FFFeu Hors ligne VIP icone 10451 points
Le #2054075
FRANCKYIV a écrit :


Google a révélé - sans toutefois entrer dans les détails



Ah ça quand c'est pour balancer les failles des autres y a du monde, mais pour parler des siennes, y a plus personne !!!


C'est l'avantage de trouver ses propres failles. Les autres ne font pas tous cet effort donc rien d'étonnant.
skynet Hors ligne VIP icone 79041 points
Le #2054078
J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique
TheDarkgg Hors ligne Vénéré icone 2571 points
Le #2054131
skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?
skynet Hors ligne VIP icone 79041 points
Le #2054143
TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.
snifer Hors ligne Vétéran icone 2034 points
Le #2054146
skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


ah je connaissais DSI mais pas DSSI merci
skynet Hors ligne VIP icone 79041 points
Le #2054173
snifer a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


ah je connaissais DSI mais pas DSSI merci


C'est pour les très grosses structures
TheDarkgg Hors ligne Vénéré icone 2571 points
Le #2054180
skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...
FRANCKYIV Absent VIP icone 50885 points
Premium
Le #2054184
TheDarkgg a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...


En exclu : Skynet au boulot :

Adresse Web :
https://pmcdn.priceminister.com/photo/Infirmiere-Homme-1176941028_L.jpg


TheDarkgg Hors ligne Vénéré icone 2571 points
Le #2054186
FRANCKYIV a écrit :

TheDarkgg a écrit :

skynet a écrit :

TheDarkgg a écrit :

skynet a écrit :

J'ai mis à jour rapidement tous mes postes. mon DSSI a balancé une alerte, la faille est vraiment critique


DSSI ?


Directeur de la sécurité des systèmes d'information.


Ah ok merci :-)

Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...


En exclu : Skynet au boulot :

Adresse Web :
https://pmcdn.priceminister.com/photo/Infirmiere-Homme-1176941028_L.jpg




Oh mon dieu ça va trop loin !
icone Suivre les commentaires
Poster un commentaire