Microsoft refuse de corriger une faille dans le navigateur Edge

Le par  |  16 commentaire(s) Source : Talos
Microsoft-Edge-securite

Suite à la découverte d'une faille dans plusieurs navigateurs Internet, Microsoft a jugé bon de ne rien faire sur Edge.

Les chercheurs de sécurité de Talos ont indiqué avoir repéré une faille touchant plusieurs navigateurs Internet. Cette brèche permet à un pirate de contourner les restrictions du Content Security Policy, un paramètre permettant de définir l'origine du code JavaScript à exécuter sur une page.

Microsoft-Edge-securite

Sur le principe, la faille n'est pas critique, mais exploitée dans une attaque plus complexe, elle pourrait participer à exécuter du code malveillant chez un utilisateur dans le but de récupérer des données personnelles.

Si Apple et Google ont respectivement choisi de corriger la faille dans Safari et Chrome, du côté de Microsoft, on juge toute intervention inutile. Prévenue en novembre 2016 au sujet de la faille qui concerne également son navigateur Edge, Microsoft n'a pas pris la peine de corriger le tir, estimant que ce comportement du navigateur était intentionnel et qu'il ne représente aucun risque.

La situation est étonnante quand on constate comment Microsoft tente de mettre en avant Edge à grand renfort de communication. 

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1979111
La plus grosse faille de sécurité, c'est Microsoft lui même. Et cela se confirme
Le #1979114
MrDho a écrit :

La plus grosse faille de sécurité, c'est Microsoft lui même. Et cela se confirme


La situation n'est pas si étonnante.

"it's not a bug, it's a feature !"

Le problème de Windows/Edge/(insert MS product here) c'est pas les failles, encore une fois tous les logiciels/OS en ont, c'est le comportement et la réactivité (de MS, of course) derrière.


Le #1979125
Maintenant que l'info est publique, et qu'elle aura fait 3 fois le tour de la terre, je pense que MS jugera utile de corriger cette faille, enfin espérons...

J'adore leur réponse au passage "Vendor says this is by design and does not consider it a vulnerability ".

Après, il y a peut-être une raison toute autre que l'on ne connaît pas, parce que franchement corriger une faille pour MS avec les milliers d'ingé dont ils disposent, ça doit pas être si compliqué et si long à faire, je ne peux pas croire que c'est juste de la négligence de leur part, on verra !
Le #1979128
Microsoft est probablement le seul à croire encore que le BSOD était un easter egg prévu pour Noel
Le #1979129
Raymond a écrit :

Maintenant que l'info est publique, et qu'elle aura fait 3 fois le tour de la terre, je pense que MS jugera utile de corriger cette faille, enfin espérons...

J'adore leur réponse au passage "Vendor says this is by design and does not consider it a vulnerability ".

Après, il y a peut-être une raison toute autre que l'on ne connaît pas, parce que franchement corriger une faille pour MS avec les milliers d'ingé dont ils disposent, ça doit pas être si compliqué et si long à faire, je ne peux pas croire que c'est juste de la négligence de leur part, on verra !


Question que je me pose aussi ils ont beaucoup de ressources.
Quoiqu'il en soit ils devrait donner plus d'infos techniques au lieu de dire simplement que c'est normal :s

Après souvent ils attendent le public disclosure avant de bouger (mais il est rare qu'il démentent qu'il y ai un problème).

Après si ils s'expliquent il faut qu'ils aient de bon arguments, sachant que c'est Talos qui a découvert le problème (=Cisco) et que Apple et Google ont considéré qu'un patch est nécéssaire...

Infos complémentaires :
- Talos a informé MS en novembre 2016
- Firefox n'est pas affecté


Le #1979134
C'est une ouverture pour la NSA.

Faite comme moi, virez Edge.
Anonyme
Le #1979135
Le problème, c'est qu'il y'a des utilisateurs d'Edge, rien d'autre
Le #1979149
Raymond a écrit :

Maintenant que l'info est publique, et qu'elle aura fait 3 fois le tour de la terre, je pense que MS jugera utile de corriger cette faille, enfin espérons...

J'adore leur réponse au passage "Vendor says this is by design and does not consider it a vulnerability ".

Après, il y a peut-être une raison toute autre que l'on ne connaît pas, parce que franchement corriger une faille pour MS avec les milliers d'ingé dont ils disposent, ça doit pas être si compliqué et si long à faire, je ne peux pas croire que c'est juste de la négligence de leur part, on verra !


+1
Le fait de rendre public cette information va faire bouger les choses ...
Le #1979152
5COMM a écrit :

Le problème, c'est qu'il y'a des utilisateurs d'Edge, rien d'autre


Mais y a pas que du mauvais dans Edge ou IE pour les machines peu puissantes ça reste le meilleur choix pour regarder des videos sur youtube, moins de saccades et surtout moins de ressources CPU accaparées, tous les 2 gèrent nativement le décodage matériel du H.264 (et la grosse majorité des vidéos présentes sur youtube sont en h.264), alors que Chrome ou Firefox par défaut c'est le VP9 qui est utilisé, opensource certes mais bien plus gourmand puisque c'est décodé de manière logicielle (sauf pour les machines récentes ayant des CPU qui gèrent de manière hardware le VP9). D'ailleurs, je crois qu'il y a des extensions qui permettent de forcer l'utilisation du H.264 au lieu du VP9, donc ce n'est pas totalement perdu pour Chrome ou Firefox

Je sais, je sais ça parait surréel , mais fais le test avec une machine peu puissante, un peu vieillotte, tu seras surpris

Conclusion : c'est sûrement pas le meilleur browser, loin de là, mais dans certaines utilisations précises il peut faire beaucoup mieux
Anonyme
Le #1979160
Raymond a écrit :

5COMM a écrit :

Le problème, c'est qu'il y'a des utilisateurs d'Edge, rien d'autre


Mais y a pas que du mauvais dans Edge ou IE pour les machines peu puissantes ça reste le meilleur choix pour regarder des videos sur youtube, moins de saccades et surtout moins de ressources CPU accaparées, tous les 2 gèrent nativement le décodage matériel du H.264 (et la grosse majorité des vidéos présentes sur youtube sont en h.264), alors que Chrome ou Firefox par défaut c'est le VP9 qui est utilisé, opensource certes mais bien plus gourmand puisque c'est décodé de manière logicielle (sauf pour les machines récentes ayant des CPU qui gèrent de manière hardware le VP9). D'ailleurs, je crois qu'il y a des extensions qui permettent de forcer l'utilisation du H.264 au lieu du VP9, donc ce n'est pas totalement perdu pour Chrome ou Firefox

Je sais, je sais ça parait surréel , mais fais le test avec une machine peu puissante, un peu vieillotte, tu seras surpris

Conclusion : c'est sûrement pas le meilleur browser, loin de là, mais dans certaines utilisations précises il peut faire beaucoup mieux


L'avenir n'était pas à la machine peu puissante ( comprendre : elles ne le seront que de plus en plus ) elle ne peut l'être pour Edge si il n'y a que ça pour lui sauver les fesses

Le poste qui galère à faire de la lecture youtube,
sans déconner j'vais pas accuser le navigateur

Tu es sûr d'être à jour sur le sujet ? ça fait des années que
ça parle accélération matérielle quand même
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]