Microsoft Edge – une faille de sécurité dévoilée par Google, non corrigée

En attente de correction

Cet ordinateur portable n'est plus vendu
L'ordinateur portable présenté ci-dessous a été commercialisé en 2018, et n'est plus en vente. Depuis, de nombreux modèles plus récents et mieux équipés ont vu le jour.

Via son Project Zero, Google dévoile publiquement les détails d’une faille de sécurité dans le navigateur Edge de Microsoft.

Pour rappel, Project Zero de Google incite les internautes à lui révéler des failles et en informe l’éditeur concerné. Celui-ci a alors 90 jours pour apporter un correctif avant que Google via le Project Zero dévoile publiquement les détails de la vulnérabilité.

Le 17 novembre 2017, le Project Zero a informé Microsoft d’une faille de sécurité présente dans son navigateur Edege. Bien qu’aucun correctif n’ait depuis été apporté, Google, fidèle à sa politique, publie les détails de cette faille.

Jugée non critique, la vulnérabilité en question permet à un pirate de contourner le dispositif de sécurité Arbitrary Code Guard (ACG) qui vise à protéger Edge des exploitations arbitraires de code, nouveauté de Windows 10 Creators Update. ACG déporte dans un processus isolé de type sandbox le compilateur JavaScript Just-In-Time de Edge.

Or d’après Google, il n’est pas difficile de trouver à l’avance l’adresse (zone mémoire) que le compilateur a l’intention d’allouer à la fonction VirtualAllocEx(), ce qui peut permettre à un pirate d’insérer un malware dans cette zone mémoire.

Microsoft explique que le correctif de la faille est plus complexe qu’originellement prévu, ce qui ne lui a pas permis de le livrer à temps avec la salve de mises à jour du 13 février dernier. La firme de Redmond est toutefois confiante dans le fait qu’elle pourra déployer un correctif adéquat le 13 mars prochain.

Autant dire qu’en attendant, il est vivement conseillé d’utiliser un navigateur différent de Edge.

[Source : Project Zero]

Quel PC portable est fait pour vous ?
5 questions, moins d’une minute ! LaptopSpirit s’occupe du reste !
,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


5 + = 8