Google dévoile une sérieuse faille dans Edge

Le Project Zero prévoit de révéler publiquement les détails d'une faille si, une fois signalée à son éditeur, elle n'est pas corrigée dans les 90 jours. Une brèche a ainsi été communiquée à Microsoft vers la mi-novembre, mais il y a trois jours, veille de la date limite, l'entreprise a répondu que le correctif était plus complexe à développer qu'anticipé.

Il était donc impossible de respecter le délai imparti, entrainant la diffusion des détails par Google il y a deux jours. La faille réside dans un choix fait par Microsoft pour protéger son navigateur contre les exploitations arbitraires de code. Arbitrary Code Guard déporte ainsi dans un processus isolé (sandbox) le compilateur JavaScript Just-In-Time du navigateur.

Problème, si le processus de contenu peut deviner à l'avance l'adresse que le compilateur compte allouer via la fonction VirtualAllocEx(), il y a danger qu'un malware puisse profiter d'une zone mémoire où s'ébattre joyeusement. Selon Google, trouver l'adresse n'est pas si compliqué, d'où la faille.

Le correctif devrait être prêt pour le prochain Patch Tuesday, le 13 mars.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !