Faille 0-day : Google récidive contre Microsoft

Le par  |  12 commentaire(s)
colere

Google divulgue publiquement une vulnérabilité sans patch affectant des produits de Microsoft (Edge et IE). La deuxième fois en un peu plus d'une semaine sous l'égide de Project Zero.

Un peu plus d'une semaine après avoir divulgué une vulnérabilité de sécurité sans correctif affectant Windows et due à un problème au niveau du composant graphique gdi32.dll (Graphics Device Interface), Project Zero de Google fait de même avec une autre faille 0-day mise au jour dans des produits Microsoft.

Microsoft-GoogleAvec le code CVE-2017-0037 qui lui a été assigné, cette nouvelle vulnérabilité sans patch affecte les navigateurs Microsoft Edge et Internet Explorer. Sans être critique, son niveau de dangerosité est jugé supérieur à la faille qui concerne gdi32.dll.

Ladite vulnérabilité est une confusion de type, soit lorsque du code ne vérifie pas le type d'un objet qui lui est passé et l'utilise à l'aveuglette. Ici, il est question d'une confusion de type dans la fonction HTML :

HandleColumnBreakOnColumnSpanningElement()

Un attaquant distant peut créer du contenu dont le chargement peut mener à une exécution de code arbitraire sur le système pris pour cible. Pas d'exploit disponible mais une preuve de concept fournie par Project Zero qui pourra servir à cet effet. Cette PoC a été vérifiée avec la version 64 bits de IE sur Windows Server 2012 R2. Néanmoins, la version 32 bits de IE11, ainsi que Microsoft Edge sont aussi affectés.

Tous les utilisateurs de Windows sont donc concernés. La vulnérabilité a été rapportée à Microsoft le 25 novembre 2016. Elle a été divulguée publiquement le 23 février 2017, soit en respectant un délai de 90 jours, indépendamment du fait qu'il n'y a pas de correctif disponible.

Actuellement, il existe donc trois vulnérabilités 0-day dans des produits Microsoft. Les deux divulguées publiquement par Google et une autre affectant le traitement du trafic SMB dans Windows. Tout ceci dans un contexte où le Patch Tuesday de février a été reporté au mois de mars. Rappelons par contre que Microsoft a publié en urgence une mise à jour des bibliothèques logicielles Adobe Flash contenues dans ses navigateurs.

Gageons que si des exploits - et pas seulement des PoC - font surface, il y aura d'autres publications en urgence. Microsoft ne doit en tout cas certainement pas apprécier la pression mise par Google via Project Zero. C'est aussi un risque accru pour les utilisateurs.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1954063
C'est vraiment l'hopital qui se fout de la charité tout en tirant sur l'ambulance.

moi je serais microsoft je ferais une vidéo de comment hacker android, il n'y a que l'embarras du choix tant cet OS est une passoire.

l'image cool de google est de plus en plus en passe de devenir une joyeuse bande de c.nards.
Le #1954072
Google est un ramassis de malfaisants.... boycott !
Le #1954077
vinzomatik a écrit :

C'est vraiment l'hopital qui se fout de la charité tout en tirant sur l'ambulance.

moi je serais microsoft je ferais une vidéo de comment hacker android, il n'y a que l'embarras du choix tant cet OS est une passoire.

l'image cool de google est de plus en plus en passe de devenir une joyeuse bande de c.nards.


Clair qu'il serait bien plus simple de trouver et de balancer toutes les failles présentes et non patchée sur Android tellement la fragmentation de l'OS empêche un suivit correct des patch de sécu xD
Le #1954079
Le smiley tout rouge, c'est la tronche des utilisateurs Windows qui sont exposés à des failles à cause de Google ...
Le #1954252
On peut reprocher à Google d'exhiber des failles mais une fois qu'on a dit ça, il se passe quoi ? MS doit corriger une faille qu'il connaît depuis 3 mois, à ce titre il met en péril ses clients (dont Google fait aussi partie), il n'est pas si choquant que ceux-ci réagissent.
Un OS avec 3 failles 0-day et dont le patch a encore été repoussé récemment ça craint un peu quand même.
Et puis bon faut pas non plus échanger les rôles: c'est bien des failles MS, les reprocher à Google, ça sert à quoi à part recommencer la guerre de chapelle habituelle ?
Le #1954254
dotto a écrit :

On peut reprocher à Google d'exhiber des failles mais une fois qu'on a dit ça, il se passe quoi ? MS doit corriger une faille qu'il connaît depuis 3 mois, à ce titre il met en péril ses clients (dont Google fait aussi partie), il n'est pas si choquant que ceux-ci réagissent.
Un OS avec 3 failles 0-day et dont le patch a encore été repoussé récemment ça craint un peu quand même.
Et puis bon faut pas non plus échanger les rôles: c'est bien des failles MS, les reprocher à Google, ça sert à quoi à part recommencer la guerre de chapelle habituelle ?


Tu prends le problème à l'envers ...
Anonyme
Le #1954326
FRANCKYIV a écrit :

dotto a écrit :

On peut reprocher à Google d'exhiber des failles mais une fois qu'on a dit ça, il se passe quoi ? MS doit corriger une faille qu'il connaît depuis 3 mois, à ce titre il met en péril ses clients (dont Google fait aussi partie), il n'est pas si choquant que ceux-ci réagissent.
Un OS avec 3 failles 0-day et dont le patch a encore été repoussé récemment ça craint un peu quand même.
Et puis bon faut pas non plus échanger les rôles: c'est bien des failles MS, les reprocher à Google, ça sert à quoi à part recommencer la guerre de chapelle habituelle ?


Tu prends le problème à l'envers ...


Non puisque Google corrige les siennes tout les mois...
Le #1954328
fs0ciety a écrit :

FRANCKYIV a écrit :

dotto a écrit :

On peut reprocher à Google d'exhiber des failles mais une fois qu'on a dit ça, il se passe quoi ? MS doit corriger une faille qu'il connaît depuis 3 mois, à ce titre il met en péril ses clients (dont Google fait aussi partie), il n'est pas si choquant que ceux-ci réagissent.
Un OS avec 3 failles 0-day et dont le patch a encore été repoussé récemment ça craint un peu quand même.
Et puis bon faut pas non plus échanger les rôles: c'est bien des failles MS, les reprocher à Google, ça sert à quoi à part recommencer la guerre de chapelle habituelle ?


Tu prends le problème à l'envers ...


Non puisque Google corrige les siennes tout les mois...


Ben si il prend le problème à l'envers ... tout le monde n'est pas Google ...
Anonyme
Le #1954330
fs0ciety a écrit :

FRANCKYIV a écrit :

dotto a écrit :

On peut reprocher à Google d'exhiber des failles mais une fois qu'on a dit ça, il se passe quoi ? MS doit corriger une faille qu'il connaît depuis 3 mois, à ce titre il met en péril ses clients (dont Google fait aussi partie), il n'est pas si choquant que ceux-ci réagissent.
Un OS avec 3 failles 0-day et dont le patch a encore été repoussé récemment ça craint un peu quand même.
Et puis bon faut pas non plus échanger les rôles: c'est bien des failles MS, les reprocher à Google, ça sert à quoi à part recommencer la guerre de chapelle habituelle ?


Tu prends le problème à l'envers ...


Non puisque Google corrige les siennes tout les mois...


Alors Google c'est peut-être tout ce qu'on veut mais ils ne sont clairement pas à blâmer, si Microsoft met plus de 3 mois pour corriger les siennes et qui les repousses à chaque fois, clairement c'est Microsoft qui galère, on peut reprocher à Google de divulguer les failles mais Microsoft réagis comment par rapport à ces annonces ?

Qu'est ce qu'ils font concrètement, qu'est ce qu'ils mettre en œuvre pour corriger ses failles ?

Du temps, beaucoup trop de temps, je réviserai mes priorités si j'étais eux, qu'ils montent une équipe comme le Project Zero de Google pour chercher ses propres failles dans leur OS, pas normal qu'en décembre, on signale des failles et trois mois après elles ne soient toujours pas corrigé...

Je m'en fous moi j'utilise pas cette OS, c'était juste pour ceux qui blâme Google.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]