Le Project Zero de Google a révélé ce week-end une vulnérabilité logicielle dans le navigateur Edge de Microsoft. La faille a été signalée pour la première fois en privé, mais après que Microsoft n'ait pas réussi à corriger le problème à temps, l'équipe Project Zero de Google a révélé les détails techniques de la vulnérabilité ainsi que la réponse de Microsoft.
Soyons clairs cependant, cette vulnérabilité de sécurité n’est pas le genre de chose dont vous avez besoin pour vous épuiser et désinstaller Edge sur. Il y a de fortes chances que vous utilisiez un autre navigateur de toute façon, mais jusqu'à ce qu'il soit corrigé, restez peut-être sur Chrome ou Firefox. La vulnérabilité elle-même établit une solution de contournement pour l’une des contre-mesures de sécurité intégrées d’Edge, Arbitrary Code Guard (ACG). En contournant ACG, le chercheur en sécurité de Google, Ivan Fratric, a trouvé un moyen de charger du code non signé en mémoire à partir d'un site Web malveillant accessible via Microsoft Edge.
Vidéos recommandées
« Le correctif est plus complexe que prévu initialement, et il est très probable que nous ne pourrons pas respecter la date limite de publication de février en raison de ces problèmes de gestion de la mémoire. L’équipe est convaincue que le produit sera prêt à être expédié le 13 mars », a répondu Microsoft à la divulgation de Fratric.
En rapport
- Cet exploit critique pourrait permettre aux pirates de contourner les défenses de votre Mac
- Des pirates chinois ciblent les infrastructures critiques américaines, prévient Microsoft
- Google vient de rendre cet outil de sécurité essentiel pour Gmail entièrement gratuit
Cependant, a ajouté Microsoft, la complexité du correctif a rendu difficile la fixation d'une date fixe de sortie. Microsoft aurait pour objectif une sortie du correctif à la mi-mars, mais il n'est pas clair si la société respectera ce délai qu'elle s'est imposé.
Nous n’en entendons parler que maintenant en raison de la politique de vulnérabilité de sécurité de Google Project Zero. Lorsque Project Zero découvre une vulnérabilité, l'équipe contacte en privé le fabricant du produit. Dans ce cas, Microsoft donne au fabricant 90 jours pour trouver un correctif avant de divulguer la vulnérabilité du publique. Il est peu probable que cette divulgation particulière rende particulièrement heureux quiconque au siège de Microsoft à Redmond, Washington.
Comme Engadget le souligne, ce n'est pas la première fois que l'équipe de recherche d'exploits de Google a malmené Microsoft. Google et Microsoft se sont pratiquement opposés à ces révélations dans le passé, chaque entreprise s'efforçant de percer les produits de l'autre afin de promouvoir les siens. Cela ne semble pas être le cas ici, mais il est peu probable que quiconque chez Microsoft considère favorablement cette vulnérabilité de sécurité mise sous les projecteurs.
Recommandations des rédacteurs
- Pourquoi Google supprime-t-il l’accès au Web pour certains de ses employés?
- Le rival ChatGPT de Google vient de se lancer dans la recherche. Voici comment l'essayer
- Ces 2 nouvelles fonctionnalités Edge donnent à Chrome un aspect obsolète
- macOS est-il plus sécurisé que Windows? Ce rapport sur les logiciels malveillants a la réponse
- Cette faille de Bing permet aux pirates de modifier les résultats de recherche et de voler vos fichiers
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
