Google dévoile une sérieuse faille dans Edge

Google dévoile une sérieuse faille dans Edge

Par Sébastien Gavois

Le 19 Février 2018 à 09h01
Logiciel
1 min 25

Google dévoile une sérieuse faille dans Edge

Le Project Zero prévoit de révéler publiquement les détails d'une faille si, une fois signalée à son éditeur, elle n'est pas corrigée dans les 90 jours. Une brèche a ainsi été communiquée à Microsoft vers la mi-novembre, mais il y a trois jours, veille de la date limite, l'entreprise a répondu que le correctif était plus complexe à développer qu'anticipé.

Il était donc impossible de respecter le délai imparti, entrainant la diffusion des détails par Google il y a deux jours. La faille réside dans un choix fait par Microsoft pour protéger son navigateur contre les exploitations arbitraires de code. Arbitrary Code Guard déporte ainsi dans un processus isolé (sandbox) le compilateur JavaScript Just-In-Time du navigateur.

Problème, si le processus de contenu peut deviner à l'avance l'adresse que le compilateur compte allouer via la fonction VirtualAllocEx(), il y a danger qu'un malware puisse profiter d'une zone mémoire où s'ébattre joyeusement. Selon Google, trouver l'adresse n'est pas si compliqué, d'où la faille.

Le correctif devrait être prêt pour le prochain Patch Tuesday, le 13 mars.

Commentaires (25)


VivaSentenza Abonné
Le 19/02/2018 à 09h37

Bravo Google, très bien de diffuser les détails d’une faille non corrigée quand celui qui est censé corriger demande un délais pour le faire… Si je trouve très positif le travail de la plupart des chercheurs en sécurité qui participent à l’amélioration de la situation au global, certaines méthodes me laissent perplexe.


ndjpoye
Le 19/02/2018 à 09h52

Idem.



Et c’est pas aux comme si eux aussi mettaient parfois plus de 3 mois :s


Anonyme_f7d8f7f164fgnbw67p
Le 19/02/2018 à 09h55

Google améliore la sécurité du net, et du net en général, de manière désintéressée et gratuite et vous trouver encore moyen de râler…


secouss
Le 19/02/2018 à 10h00

Le même…. Mais ils s’en branlent, mettons le feu aux concurrents….


ndjpoye
Le 19/02/2018 à 10h10

Un grand bon vers cet objectif serait …. qu’ils arrêtent leurs produits&nbsp;<img data-src=" />


wpayen
Le 19/02/2018 à 10h17







Drepanocytose a écrit :



Google améliore la sécurité du net, et du net en général, de manière désintéressée et gratuite et vous trouver encore moyen de râler…





C’est pas désintéressé.

Ils n’outrepassent jamais les embargos quand ils sont touchés eux et ont certainement la pire politique de suivi de faille (l’excuse du “c’est pas nous qui faisons les updates les arrange bien).



On remarque juste qu’ils ont un malin plaisir à sortir d’embargo des problématiques de sécurité surtout quand ils ne sont pas concerné. (cas metldown/spectre où ils ont anticipé de 3 jours la sortie d’embargo. ça ne servait à rien, aucune utilité ni plus-value. A part une branlette intellectuelle).



neorel
Le 19/02/2018 à 11h16

Ils ont mis en place cette politique surtout face à un microsoft, qui avait des produits plein de faille, mais ne les bouchait que rarement.

Il ne faut pas non plus oublié que, même si google garde la faille secrète pendant 3 mois, d’autres personnes (black hat, NSA, etc…) peuvent très bien être au courant de cette faille et être déjà en train de l’exploiter…

Et 3 mois pour corriger une faille, c’est déjà bien assez long. Si je laissait une faille identifié dans ma boîte pendant 3 mois, je pourrais déjà aller me chercher un autre job… Et on est pas une armée de centaines de dev!


ndjpoye
Le 19/02/2018 à 11h57







neorel a écrit :



Et 3 mois pour corriger une faille, c’est déjà bien assez long. Si je laissait une faille identifié dans ma boîte pendant 3 mois, je pourrais déjà aller me chercher un autre job… Et on est pas une armée de centaines de dev!



Trouver la cause du bug, analyser l’impact, corrigé, faire les tests de fiabilité et de non régression …..&nbsp;



C’est pas comme si google corrigé toutes ces failels en moins de 3 mois et donc ne&nbsp; savait pas que ça pouvait arriver….



hellmut Abonné
Le 19/02/2018 à 13h43

je dirais plutôt le contraire moi.


hellmut Abonné
Le 19/02/2018 à 13h44

il me semble que s’ils ont sorti 3j avant la fin de l’embargo c’est parce que ça avait déjà fuité ailleurs depuis quelques temps.


hellmut Abonné
Le 19/02/2018 à 13h46

en l’occurrence c’est MS qui s’est foiré quelque part dans son analyse, puisqu’ils annoncent “il y a trois jours, veille de la date limite, […] que le correctif était plus complexe à développer qu’anticipé”.


ndjpoye
Le 19/02/2018 à 13h54

Ca ne change rien au fait que Google sait que parfois ça peut prendre plus de 3 mois, que c’est pas tout le temps si simple…..



&nbsp;


ndjpoye
Le 19/02/2018 à 13h57







hellmut a écrit :



je dirais plutôt le contraire moi.



Parles en aux proprios de chrome book <img data-src=" /> <img data-src=" />&nbsp;

nb: tien, 3 mois dépassé dans ce cas.



Plus sérieusement, 3 mois “mordicus”, c’est utopique. Ils savent très bien que parfois, c’est pas si simple, puisqu’ils vivent la même chose.&nbsp; C’est juste dommage…



127.0.0.1
Le 19/02/2018 à 14h02

Dorénavant, afin de rendre le web plus sûr, Google publiera systématiquement le code d’un malware exploitant les failles non corrigées.



Merci Google.


hellmut Abonné
Le 19/02/2018 à 14h25

Google sait aussi très bien que s’ils commencent à discuter avec tout le monde et pondre une deadline à la tête du client qui ne sera donc plus une deadline, autant pisser dans un violon.





  • dans 90j on publie

  • OK on corrige



    “89j plus tard”

  • heu les gars en fait on a foiré l’analyse, c’est plus compliqué que prévu. nous faut 30j de plus

  • OK



    “29j plus tard”

  • oui alors en fait le lead developer est en congés paternité, on pourra pas livrer avant 20j

  • OK



    “19j plus tard”

  • désolé les gars, au début on n’a pas trouvé de recetteurs, puis on a fini par les joindre et en fait ils s’en foutent de la sécu ils se sentent pas concernés, du coup c’est le stagiaire qui a fait les tests, et il a rien compris on sera pas prêt avant 10j

  • OK



    “9j plus tard”

  • bon alors cette fois-ci on a des régressions, on peut repousser de 5j?

  • OK



    “4j plus tard”

  • Promis demain on livre

  • OK



    “le lendemain”

  • bon alors c’est plus à l’ordre du jour en fait

  • ??



    bien évidemment toute ressemblance avec des situations existantes ou ayant existé ne seraient que fortuite.


ndjpoye
Le 19/02/2018 à 14h37







hellmut a écrit :



Google sait aussi très bien que s’ils commencent à discuter avec tout le monde et pondre une deadline à la tête du client qui ne sera donc plus une deadline, autant pisser dans un violon.



Heureusement qu’il y a Google pour nous protéger<img data-src=" />

Dommage qu’ils ne nous protègent pas aussi bien de leurs propres failles. Mais bon, avec leurs PDM, c’est pas important <img data-src=" />



hellmut Abonné
Le 19/02/2018 à 14h47

Ben franchement Project Zero oui, ils font du bon taf.

ça évite de retrouver les mêmes dans des mains peu scrupuleuses.



par contre j’ai pas suivi concernant leurs propres failles (dsl j’ai pas de Chromebook ^^).


wpayen
Le 19/02/2018 à 15h24







hellmut a écrit :



il me semble que s’ils ont sorti 3j avant la fin de l’embargo c’est parce que ça avait déjà fuité ailleurs depuis quelques temps.







La faille datait de Juin 2017.

Les premiers correctifs de décembre 2017, ils ont révélé la faille un jeudi alors que l’embargo prenait fin le lundi.



Quand une faille aussi critique, dans son impact et dans difficulté de correction, est révélée trois jours avant la date par quelqu’un qui n’est pas directement partie prenante… J’appelle ça être de mauvaise fois.



Et la MAJ de Chrome est pas sortie Day1. Elle a attendu 5 jours.

Les mecs grillent un embargo pour le LOL et ils sont pas près le jour J pour leurs softs ?



wpayen
Le 19/02/2018 à 15h29

Le monde de l’informatique avait désespérément besoin de Google.

Ou alors ce monde fonctionnait très bien avant et Google fait juste “de la publicité” autour du traitement de cette information là.



Il existe de nombreuses initiatives de recensement de bug qui ont un sérieux bien plus grand que Project Zéro et qui en plus, puisque non lié, ont une gestion impartiale quelque soit le firme touchée. Google, on les entends beaucoup moins quand c’est eux qui ont le nez dans la merde.


hellmut Abonné
Le 19/02/2018 à 16h02

c’est pas du recensement de bugs, project zero. ^^


Rctll
Le 19/02/2018 à 21h14

Je viens de parcourir le bug report sur Google, et il y a quelque chose qui ne me parait pas clair:

&nbsp;

Ok, cela contourne l’ACG (en gros, si je ne dis pas de bêtise, le flag qui indique qu’un code est exécutable mais pas inscriptible). Cependant, tout seul ce bug ne permet pas de compromettre quoi que ce soit, puisqu’il faudrait encore découvrir quelquepart dans Edge un moyen d’écrire à cette adresse (un buffer overflow me parait tout indiqué) (par contre envoyer le flot d’exécution à cet endroit est simple puisque c’est l’endroit ou réside le js “jitté”).



Donc que ce soit une faille qu’il faille (désolé <img data-src=" />) corriger, certes, mais que l’on en fasse tout un foin…. bof.

Ou alors j’ai raté un épisode?


Bejarid
Le 19/02/2018 à 23h24







Rctll a écrit :



Donc que ce soit une faille qu’il faille (désolé <img data-src=" />) corriger, certes, mais que l’on en fasse tout un foin…. bof. 



     Ou alors j'ai raté un épisode?









     Non, tu n'as rien raté. Cette faille ne concerne qu'une des couches de sécurité. Elle doit être combiné à d'autres pour être utile, puisque toutes les couches doivent être percé (après le nombre exacte de couches dépend du cas et de la config de la machine, je crois que ça varie entre 3 et une dizaine).          







    Ensuite, ce n'est pas étonnant d'avoir une alerte 3 jours avant la release. C'est le moment où on fait les test globaux, de tous les pacths du mois, sur tout un ensemble de machines. Il y a du y avoir un couac, peut être une config particulière qui n'aime pas la modif, ou une collision avec un autre correctif.          







    Dans tous les cas, si les compétences de Projet Zéro ne font pas débat, son utilisation malveillante par Google non plus. Quand on te dis que le patch est fait dans les temps, mais qu'il doit être modifié car il fait bugué le pack de patch, faut vraiment être Evil pour refuser un délai d'un mois avant le full disclosure (qui ne sert qu'a se la péter je rappel, la faille et sa dangerosité sont diffusées avant via les canaux qui vont bien). Surtout que ce n'est pas comme si MS le faisait à chaque fois, ils en corrigent des dizaines par an des bugs que Google leur remonte, y a presque jamais de soucis...      







Mais à chaque fois que y en a un, Google est là pour faire un communiqué de presse. Du grand art.


TheMyst Abonné
Le 20/02/2018 à 11h51

Est-ce que tu aurais l’adresse du communiqué de presse de Google ?


Rctll
Le 21/02/2018 à 20h04

ah ouf, je ne suis pas fou :)


Fermer