Chaque deuxième mardi de chaque mois, on a l’habitude de voir Microsoft publier une série de bulletins de sécurité couvrant l’ensemble de ses produits. Windows, Office, produits serveur et autres sont ainsi passés en revue, ce qui peut fournir des bulletins copieux, comme celui du mois dernier qui a établi un record avec 64 failles corrigées. Mais les deux nouveaux bulletins publiés par Microsoft ne concernent pas des produits de l’entreprise.Le premier bulletin porte la référence MSVR11-001 et vise le navigateur Chrome de Google. Microsoft a découvert qu’il existe une vulnérabilité dans la version 6.0 et les moutures antérieures causée par un référencement d’une zone mémoire qui a été préalablement libérée. L’éditeur indique qu’un utilisateur malveillant pourrait s’en servir pour provoquer un plantage de Chrome et lancer un code arbitraire. Mais ce code ne peut s’exécuter que dans une sandbox, puisque Chrome isole en mémoire chaque onglet via autant de processus. Le rayon d’action de l’attaquant est donc limité.
Le deuxième bulletin est le MSVR11-002 et cible cette fois deux navigateurs : Chrome dans ses versions 8.0.552.210 et antérieures, ainsi qu’Opera 10.62 et ses versions antérieures. Le problème se situe cette fois dans l’implémentation de l’élément Canvas, décrit par le W3C comme faisant partie de la norme en devenir HTML5.
Dans un document du W3C, ce dernier décrit la manière dont la sécurité doit être gérée avec les éléments Canvas. Une fuite d’informations peut intervenir si les scripts en provenance d’un point peuvent accéder à des données situées ailleurs. Un utilisateur malveillant pourrait exploiter cette vulnérabilité pour récupérer les informations circulant de cette manière. Bien que cette faille ne permette ni une exécution de code arbitraire ni une élévation des privilèges par ce biais, les informations volées peuvent être de nature à compromettre le système par la suite.Pour l’ensemble de ces failles, Microsoft indique que l’exploitation peut passer par la création d’une page web spécifiquement conçue dans ce dessein. Pour la deuxième faille (qui touche à la fois Chrome et Opera), l’attaquant doit obligatoirement posséder l’adresse IP de la ressource réseau qui contient les informations visées. Une étape supplémentaire donc, mais qui n’a rien d’une gageure pour un pirate motivé.
Le principal allié des utilisateurs pour ces failles est finalement le produit visé. Chrome se met à jour seul sans rien demander à l’utilisateur. Il utilise un processus silencieux qui ne pose jamais la moindre question, et les nouvelles versions sont téléchargées automatiquement puis installées au démarrage suivant du butineur. Opera ne fait pas dans le silencieux, mais alerte l’utilisateur sur la disponibilité d’une mise à jour.
Microsoft précise en outre que la publication de ces bulletins intervient après la correction des failles par Google et Opera. Les informations avaient été transmises confidentiellement. S’il reste donc un conseil à donner, il s’agirait évidemment de : « Mettez à jour votre navigateur ».
