Actualités Internet Navigateur

Microsoft refuse de corriger une faille dans le navigateur Edge

Le vendredi 08 Septembre 2017 à 10:10 par Mathieu M. | 16 commentaire(s) Source : Talos

Suite à la découverte d'une faille dans plusieurs navigateurs Internet, Microsoft a jugé bon de ne rien faire sur Edge.

Les chercheurs de sécurité de Talos ont indiqué avoir repéré une faille touchant plusieurs navigateurs Internet. Cette brèche permet à un pirate de contourner les restrictions du Content Security Policy, un paramètre permettant de définir l'origine du code JavaScript à exécuter sur une page.

Sur le principe, la faille n'est pas critique, mais exploitée dans une attaque plus complexe, elle pourrait participer à exécuter du code malveillant chez un utilisateur dans le but de récupérer des données personnelles.

Si Apple et Google ont respectivement choisi de corriger la faille dans Safari et Chrome, du côté de Microsoft, on juge toute intervention inutile. Prévenue en novembre 2016 au sujet de la faille qui concerne également son navigateur Edge, Microsoft n'a pas pris la peine de corriger le tir, estimant que ce comportement du navigateur était intentionnel et qu'il ne représente aucun risque.

La situation est étonnante quand on constate comment Microsoft tente de mettre en avant Edge à grand renfort de communication.

Complément d'information

Windows 10 : Microsoft Edge refuse Silverlight

Le nouveau navigateur Web de Windows 10 ne prendra pas en charge la technologie Silverlight de Microsoft.
Microsoft débourse 125 000 $ mais refuse de patcher

Des chercheurs de HP ont découvert une technique d'exploitation pour mettre à mal Internet Explorer et des défenses de Windows. Une prouesse saluée par Microsoft qui ne veut cependant pas développer un correctif.

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !

Trier par : date / pertinence

MrDho

Ce membre n'est pas présent sur GNT. <br />Date de dernière connexion : il y a fort longtemps<br />Date de dernière activité : Mercredi 20/09/2017 à 08h17

Hors ligne Vétéran

1031 points

Inscrit le 18/08/2015
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 10:11 #1979111

La plus grosse faille de sécurité, c'est Microsoft lui même. Et cela se confirme

(6 aiment, 3 n'aiment pas)

-1 Répondre en citant Masquer

LinuxUser

Ce membre n'est pas présent sur GNT. <br />Date de dernière connexion : il y a fort longtemps<br />Date de dernière activité : Jeudi 21/09/2017 à 14h36

Hors ligne Vétéran

2215 points

Inscrit le 13/06/2017
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 10:16 #1979114

MrDho a écrit :

La plus grosse faille de sécurité, c'est Microsoft lui même. Et cela se confirme

La situation n'est pas si étonnante.

"it's not a bug, it's a feature !"

Le problème de Windows/Edge/(insert MS product here) c'est pas les failles, encore une fois tous les logiciels/OS en ont, c'est le comportement et la réactivité (de MS, of course) derrière.

(6 aiment, 0 n'aime pas)

-1 Répondre en citant Masquer

Raymond

Ce membre n'est pas présent sur GNT. <br />Date de dernière connexion : il y a fort longtemps<br />Date de dernière activité : Jeudi 21/09/2017 à 20h10

Hors ligne Vétéran

2116 points

Inscrit le 01/08/2001
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 10:43 #1979125

Maintenant que l'info est publique, et qu'elle aura fait 3 fois le tour de la terre, je pense que MS jugera utile de corriger cette faille, enfin espérons...

J'adore leur réponse au passage "Vendor says this is by design and does not consider it a vulnerability ".

Après, il y a peut-être une raison toute autre que l'on ne connaît pas, parce que franchement corriger une faille pour MS avec les milliers d'ingé dont ils disposent, ça doit pas être si compliqué et si long à faire, je ne peux pas croire que c'est juste de la négligence de leur part, on verra !

(4 aiment, 0 n'aime pas)

-1 Répondre en citant Masquer

MrDho

Hors ligne Vétéran

1031 points

Inscrit le 18/08/2015
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 10:58 #1979128

Microsoft est probablement le seul à croire encore que le BSOD était un easter egg prévu pour Noel

(5 aiment, 0 n'aime pas)

-1 Répondre en citant Masquer

LinuxUser

Hors ligne Vétéran

2215 points

Inscrit le 13/06/2017
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 11:01 #1979129

Raymond a écrit :

Maintenant que l'info est publique, et qu'elle aura fait 3 fois le tour de la terre, je pense que MS jugera utile de corriger cette faille, enfin espérons...

J'adore leur réponse au passage "Vendor says this is by design and does not consider it a vulnerability ".

Après, il y a peut-être une raison toute autre que l'on ne connaît pas, parce que franchement corriger une faille pour MS avec les milliers d'ingé dont ils disposent, ça doit pas être si compliqué et si long à faire, je ne peux pas croire que c'est juste de la négligence de leur part, on verra !

Question que je me pose aussi ils ont beaucoup de ressources.
Quoiqu'il en soit ils devrait donner plus d'infos techniques au lieu de dire simplement que c'est normal :s

Après souvent ils attendent le public disclosure avant de bouger (mais il est rare qu'il démentent qu'il y ai un problème).

Après si ils s'expliquent il faut qu'ils aient de bon arguments, sachant que c'est Talos qui a découvert le problème (=Cisco) et que Apple et Google ont considéré qu'un patch est nécéssaire...

Infos complémentaires :
- Talos a informé MS en novembre 2016
- Firefox n'est pas affecté

>  Raymond a écrit : 
>  >  Maintenant que l'info est publique, et qu'elle aura fait 3 fois le tour de la terre, je pense que MS jugera utile de corriger cette faille, enfin espérons...
>  >  
>  >  J'adore leur réponse au passage "Vendor says this is by design and does not consider it a vulnerability ". :)
>  >  
>  >  Après, il y a peut-être une raison toute autre que l'on ne connaît pas, parce que franchement corriger une faille pour MS avec les milliers d'ingé dont ils disposent, ça doit pas être si compliqué et si long à faire, je ne peux pas croire que c'est juste de la négligence de leur part, on verra !
>  Question que je me pose aussi ils ont beaucoup de ressources.
>  Quoiqu'il en soit ils devrait donner plus d'infos techniques au lieu de dire simplement que c'est normal :s
>  
>  Après souvent ils attendent le public disclosure avant de bouger (mais il est rare qu'il démentent qu'il y ai un problème).
>  
>  Après si ils s'expliquent il faut qu'ils aient de bon arguments, sachant que c'est Talos qui a découvert le problème (=Cisco) et que Apple et Google ont considéré qu'un patch est nécéssaire...
>  
>  Infos complémentaires :
>  - Talos a informé MS en novembre 2016
>  - Firefox n'est pas affecté

(3 aiment, 0 n'aime pas)

-1 Répondre en citant Masquer

phebus

Ce membre n'est pas présent sur GNT. <br />Date de dernière connexion : il y a fort longtemps<br />Date de dernière activité : Jeudi 21/09/2017 à 12h28

Hors ligne VIP

11377 points

Inscrit le 15/11/2005
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 11:08 #1979134

C'est une ouverture pour la NSA.

Faite comme moi, virez Edge.

(3 aiment, 0 n'aime pas)

-1 Répondre en citant Masquer

5COMM

Le membre est absent.<br />Date de dernière activité : Jeudi 21/09/2017 à 20h59

Absent VIP

15146 points

Inscrit le 26/02/2015
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 11:09 #1979135

Le problème, c'est qu'il y'a des utilisateurs d'Edge, rien d'autre

(3 aiment, 1 n'aime pas)

-1 Répondre en citant Masquer

skynet

Ce membre n'est pas présent sur GNT. <br />Date de dernière connexion : il y a fort longtemps<br />Date de dernière activité : Jeudi 21/09/2017 à 20h13

Hors ligne VIP

37223 points

Inscrit le 20/05/2015
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 11:51 #1979149

Raymond a écrit :

Maintenant que l'info est publique, et qu'elle aura fait 3 fois le tour de la terre, je pense que MS jugera utile de corriger cette faille, enfin espérons...

J'adore leur réponse au passage "Vendor says this is by design and does not consider it a vulnerability ".

Après, il y a peut-être une raison toute autre que l'on ne connaît pas, parce que franchement corriger une faille pour MS avec les milliers d'ingé dont ils disposent, ça doit pas être si compliqué et si long à faire, je ne peux pas croire que c'est juste de la négligence de leur part, on verra !

+1
Le fait de rendre public cette information va faire bouger les choses ...

-1 Répondre en citant Masquer

Raymond

Hors ligne Vétéran

2116 points

Inscrit le 01/08/2001
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 12:00 #1979152

5COMM a écrit :

Le problème, c'est qu'il y'a des utilisateurs d'Edge, rien d'autre

Mais y a pas que du mauvais dans Edge ou IE

pour les machines peu puissantes ça reste le meilleur choix pour regarder des videos sur youtube, moins de saccades et surtout moins de ressources CPU accaparées, tous les 2 gèrent nativement le décodage matériel du H.264 (et la grosse majorité des vidéos présentes sur youtube sont en h.264), alors que Chrome ou Firefox par défaut c'est le VP9 qui est utilisé, opensource certes mais bien plus gourmand puisque c'est décodé de manière logicielle (sauf pour les machines récentes ayant des CPU qui gèrent de manière hardware le VP9). D'ailleurs, je crois qu'il y a des extensions qui permettent de forcer l'utilisation du H.264 au lieu du VP9, donc ce n'est pas totalement perdu pour Chrome ou Firefox

Je sais, je sais

ça parait surréel

, mais fais le test avec une machine peu puissante, un peu vieillotte, tu seras surpris

Conclusion : c'est sûrement pas le meilleur browser, loin de là, mais dans certaines utilisations précises il peut faire beaucoup mieux

>  5COMM a écrit : 
>  >  Le problème, c'est qu'il y'a des utilisateurs d'Edge, rien d'autre  ^^
>  Mais y a pas que du mauvais dans Edge ou IE :)  pour les machines peu puissantes ça reste le meilleur choix pour regarder des videos sur youtube, moins de saccades et surtout moins de ressources CPU accaparées, tous les 2 gèrent nativement le décodage matériel du H.264 (et la grosse majorité des vidéos présentes sur youtube sont en h.264), alors que Chrome ou Firefox par défaut c'est le VP9 qui est utilisé, opensource certes mais bien plus gourmand puisque c'est décodé de manière logicielle (sauf pour les machines récentes ayant des CPU qui gèrent de manière hardware le VP9). D'ailleurs, je crois qu'il y a des extensions qui permettent de forcer l'utilisation du H.264 au lieu du VP9, donc ce n'est pas totalement perdu pour Chrome ou Firefox :)
>  
>  Je sais, je sais :)  ça parait surréel :D , mais fais le test avec une machine peu puissante, un peu vieillotte, tu seras surpris :)
>  
>  Conclusion : c'est sûrement pas le meilleur browser, loin de là, mais dans certaines utilisations précises il peut faire beaucoup mieux :)

(2 aiment, 0 n'aime pas)

-1 Répondre en citant Masquer

5COMM

Absent VIP

15146 points

Inscrit le 26/02/2015
Suivre
Voir le profil
Message privé

Le 08/09/2017 à 12:33 #1979160

Raymond a écrit :

5COMM a écrit :

Le problème, c'est qu'il y'a des utilisateurs d'Edge, rien d'autre

Mais y a pas que du mauvais dans Edge ou IE pour les machines peu puissantes ça reste le meilleur choix pour regarder des videos sur youtube, moins de saccades et surtout moins de ressources CPU accaparées, tous les 2 gèrent nativement le décodage matériel du H.264 (et la grosse majorité des vidéos présentes sur youtube sont en h.264), alors que Chrome ou Firefox par défaut c'est le VP9 qui est utilisé, opensource certes mais bien plus gourmand puisque c'est décodé de manière logicielle (sauf pour les machines récentes ayant des CPU qui gèrent de manière hardware le VP9). D'ailleurs, je crois qu'il y a des extensions qui permettent de forcer l'utilisation du H.264 au lieu du VP9, donc ce n'est pas totalement perdu pour Chrome ou Firefox

Je sais, je sais ça parait surréel , mais fais le test avec une machine peu puissante, un peu vieillotte, tu seras surpris

Conclusion : c'est sûrement pas le meilleur browser, loin de là, mais dans certaines utilisations précises il peut faire beaucoup mieux

L'avenir n'était pas à la machine peu puissante ( comprendre : elles ne le seront que de plus en plus ) elle ne peut l'être pour Edge si il n'y a que ça pour lui sauver les fesses

Le poste qui galère à faire de la lecture youtube,
sans déconner j'vais pas accuser le navigateur

Tu es sûr d'être à jour sur le sujet ? ça fait des années que
ça parle accélération matérielle quand même

>  Raymond a écrit : 
>  >  5COMM a écrit : 
>  > >  Le problème, c'est qu'il y'a des utilisateurs d'Edge, rien d'autre  ^^
>  >  Mais y a pas que du mauvais dans Edge ou IE :)  pour les machines peu puissantes ça reste le meilleur choix pour regarder des videos sur youtube, moins de saccades et surtout moins de ressources CPU accaparées, tous les 2 gèrent nativement le décodage matériel du H.264 (et la grosse majorité des vidéos présentes sur youtube sont en h.264), alors que Chrome ou Firefox par défaut c'est le VP9 qui est utilisé, opensource certes mais bien plus gourmand puisque c'est décodé de manière logicielle (sauf pour les machines récentes ayant des CPU qui gèrent de manière hardware le VP9). D'ailleurs, je crois qu'il y a des extensions qui permettent de forcer l'utilisation du H.264 au lieu du VP9, donc ce n'est pas totalement perdu pour Chrome ou Firefox :)
>  >  
>  >  Je sais, je sais :)  ça parait surréel :D , mais fais le test avec une machine peu puissante, un peu vieillotte, tu seras surpris :)
>  >  
>  >  Conclusion : c'est sûrement pas le meilleur browser, loin de là, mais dans certaines utilisations précises il peut faire beaucoup mieux :)
>  L'avenir n'était pas à la machine peu puissante ( comprendre : elles ne le seront que de plus en plus )  elle ne peut l'être pour Edge si il n'y a que ça pour lui sauver les fesses  :)
>  
>  Le poste qui galère à faire de la lecture youtube, 
>  sans déconner j'vais pas accuser le navigateur  :D
>  
>  Tu es sûr d'être à jour sur le sujet ? ça fait des années que
>   ça parle accélération matérielle quand même  :andy:

-1 Répondre en citant Masquer

Suivre les commentaires

Poster un commentaire

Anonyme

Se connecter