Windows : Microsoft corrige la 0day divulguée par Google

Le par Jérôme G.  |  1 commentaire(s)
patch

Le Patch Tuesday de novembre de Microsoft permet la correction de la 0day récemment divulguée par Project Zero de Google. Dans le même temps, de nouvelles 0day sont corrigées pour Chrome.

Microsoft publie un correctif pour la vulnérabilité de sécurité identifiée en tant que CVE-2020-17087. Alors qu'un patch n'était pas disponible, cette vulnérabilité a fait l'objet d'une exploitation active dans des attaques ciblant des utilisateurs de Windows 7 et Windows 10.

La vulnérabilité permet une élévation de privilèges. Elle avait été rendue publique par l'équipe Project Zero de Google à la fin du mois dernier, dans le cadre de sa politique de divulgation après découverte et pour cause d'exploitation active.

Microsoft avait été informé en amont de ce bug de sécurité. Il est en rapport avec l'utilisation par Windows de fonctions cryptographiques (Kernel Cryptography Driver ; cng.sys). Son association avec une vulnérabilité touchant Google Chrome permettait une exécution de code malveillant dans le navigateur et un échappement de sandbox.

Pour la vulnérabilité en lien avec Google Chrome, elle était de type dépassement de tampon et en lien avec la bibliothèque logicielle FreeType pour les polices de caractères.

windows-securite
Dans le cadre du copieux Patch Tuesday mensuel

La correction de Microsoft intervient à l'occasion de son rendez-vous de chaque deuxième mardi du mois. Cet Update Tuesday - ou officieusement Patch Tuesday - pour le mois de novembre permet de corriger un total de 112 vulnérabilités de sécurité pour divers produits du groupe.

À noter que la vulnérabilité CVE-2020-17087 à elle seule n'est pas jugée critique par Microsoft. Parmi les nombreuses corrections de sécurité, c'est en tout cas la seule à faire l'objet d'une exploitation dans des attaques et d'une divulgation publique.

De son côté, Google propose une mise à jour de Google Chrome sur ordinateur pour la correction de deux vulnérabilités… 0day. Une fait référence à une implémentation inappropriée dans V8 qui est le moteur JavaScript open source développé par le projet Chromium, et l'autre à l'isolation des sites.

Avec des exploits dans la nature, ces deux vulnérabilités pour Chrome ont été rapportées par des sources anonymes. Il n'est pas précisé si elles sont utilisées ensemble pour une exploitation. Depuis fin octobre, Google a désormais corrigé quatre 0day pour Chrome sur ordinateur, sans compter une 0day pour Chrome sur Android.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
mapool offline Hors ligne VIP avatar 10467 points
Le #2113031
..//..Elle avait été rendue publique par l'équipe Project Zero de Google..//..

Si seulement google s'occupait de ses propres failles....
encore une fois l'hôpital qui se fout de la charité
icone Suivre les commentaires
Poster un commentaire