
Le premier bulletin porte la référence MSVR11-001 et vise le navigateur Chrome de Google. Microsoft a découvert qu’il existe une vulnérabilité dans la version 6.0 et les moutures antérieures causée par un référencement d’une zone mémoire qui a été préalablement libérée. L’éditeur indique qu’un utilisateur malveillant pourrait s’en servir pour provoquer un plantage de Chrome et lancer un code arbitraire. Mais ce code ne peut s’exécuter que dans une sandbox, puisque Chrome isole en mémoire chaque onglet via autant de processus. Le rayon d’action de l’attaquant est donc limité.
Le deuxième bulletin est le MSVR11-002 et cible cette fois deux navigateurs : Chrome dans ses versions 8.0.552.210 et antérieures, ainsi qu’Opera 10.62 et ses versions antérieures. Le problème se situe cette fois dans l’implémentation de l’élément Canvas, décrit par le W3C comme faisant partie de la norme en devenir HTML5.

Pour l’ensemble de ces failles, Microsoft indique que l’exploitation peut passer par la création d’une page web spécifiquement conçue dans ce dessein. Pour la deuxième faille (qui touche à la fois Chrome et Opera), l’attaquant doit obligatoirement posséder l’adresse IP de la ressource réseau qui contient les informations visées. Une étape supplémentaire donc, mais qui n’a rien d’une gageure pour un pirate motivé.
Le principal allié des utilisateurs pour ces failles est finalement le produit visé. Chrome se met à jour seul sans rien demander à l’utilisateur. Il utilise un processus silencieux qui ne pose jamais la moindre question, et les nouvelles versions sont téléchargées automatiquement puis installées au démarrage suivant du butineur. Opera ne fait pas dans le silencieux, mais alerte l’utilisateur sur la disponibilité d’une mise à jour.
Microsoft précise en outre que la publication de ces bulletins intervient après la correction des failles par Google et Opera. Les informations avaient été transmises confidentiellement. S’il reste donc un conseil à donner, il s’agirait évidemment de : « Mettez à jour votre navigateur ».