La faille Google Chrome en couple (critique) avec une 0day pour Windows 7

Associée à une 0day de Windows 7, la vulnérabilité de Google Chrome au niveau de FileReader permettait une exploitation en contournant la protection sandbox.
A posteriori (après la diffusion d'une mise à jour correctrice), Google a révélé - sans toutefois entrer dans les détails - que son navigateur Chrome était affecté par une vulnérabilité de sécurité (CVE-2019-5786) exploitée dans des attaques.
De type corruption de mémoire avec un accès après libération, la vulnérabilité concerne FileReader qui permet à des applications web de lire de manière asynchrone les contenus de fichiers stockés en local. Dans sa classification, Google lui confère un degré de dangerosité haut (mais pas critique).
Pour autant, Google dévoile désormais que cette faille a été associée à une 0day affectant Windows pour mener des attaques ciblées. En l'occurrence, une vulnérabilité de type élévation de privilèges en local touchant le pilote en mode noyau win32k.sys.
Cette vulnérabilité actuellement non corrigée ne serait exploitable qu'avec Windows 7, dans la mesure où des solutions d'atténuation ont été ajoutées dans les nouvelles versions de Windows. Google souligne par ailleurs n'avoir observé une exploitation active qu'à l'encontre de Windows 7 en 32 bits.
" La vulnérabilité non corrigée de Windows peut toujours être utilisée pour une élévation de privilèges ou associée avec une autre vulnérabilité d'un navigateur afin de contourner la sécurité sandbox (ndlr : c'est donc critique). Microsoft nous a dit qu'ils travaillent sur un correctif ", écrit Clement Lecigne du Threat Analysis Group de Google.
Il conseille aux utilisateurs de sérieusement penser à l'éventualité d'une mise à niveau vers Windows 10 s'ils ont recours à une ancienne version de Windows. Rappelons que la fin de support pour Windows 7 est pour le 14 janvier 2020.
-
Google a récemment déployé une mise à jour à destination de Chrome pour colmater une faille de type zero day.
-
Si vous utilisez le navigateur Internet Chrome, mieux vaut procéder à une mise à jour en urgence !
Vos commentaires Page 1 / 2
Premium
Ah ça quand c'est pour balancer les failles des autres y a du monde, mais pour parler des siennes, y a plus personne !!!
C'est l'avantage de trouver ses propres failles. Les autres ne font pas tous cet effort donc rien d'étonnant.
DSSI ?
Directeur de la sécurité des systèmes d'information.
ah je connaissais DSI mais pas DSSI merci
C'est pour les très grosses structures
Ah ok merci :-)
Je ne comprenais pas le rapport parce que sur google DSSI c'est ->Directeur du service de soins infirmiers...
Premium
En exclu : Skynet au boulot :
Adresse Web :
https://pmcdn.priceminister.com/photo/Infirmiere-Homme-1176941028_L.jpg
Oh mon dieu ça va trop loin !