Le Project Zero prévoit de révéler publiquement les détails d'une faille si, une fois signalée à son éditeur, elle n'est pas corrigée dans les 90 jours. Une brèche a ainsi été communiquée à Microsoft vers la mi-novembre, mais il y a trois jours, veille de la date limite, l'entreprise a répondu que le correctif était plus complexe à développer qu'anticipé.
Il était donc impossible de respecter le délai imparti, entrainant la diffusion des détails par Google il y a deux jours. La faille réside dans un choix fait par Microsoft pour protéger son navigateur contre les exploitations arbitraires de code. Arbitrary Code Guard déporte ainsi dans un processus isolé (sandbox) le compilateur JavaScript Just-In-Time du navigateur.
Problème, si le processus de contenu peut deviner à l'avance l'adresse que le compilateur compte allouer via la fonction VirtualAllocEx()
, il y a danger qu'un malware puisse profiter d'une zone mémoire où s'ébattre joyeusement. Selon Google, trouver l'adresse n'est pas si compliqué, d'où la faille.
Le correctif devrait être prêt pour le prochain Patch Tuesday, le 13 mars.
Commentaires (25)
#1
Bravo Google, très bien de diffuser les détails d’une faille non corrigée quand celui qui est censé corriger demande un délais pour le faire… Si je trouve très positif le travail de la plupart des chercheurs en sécurité qui participent à l’amélioration de la situation au global, certaines méthodes me laissent perplexe.
#2
Idem.
Et c’est pas aux comme si eux aussi mettaient parfois plus de 3 mois :s
#3
Google améliore la sécurité du net, et du net en général, de manière désintéressée et gratuite et vous trouver encore moyen de râler…
#4
Le même…. Mais ils s’en branlent, mettons le feu aux concurrents….
#5
Un grand bon vers cet objectif serait …. qu’ils arrêtent leurs produits " />
#6
#7
Ils ont mis en place cette politique surtout face à un microsoft, qui avait des produits plein de faille, mais ne les bouchait que rarement.
Il ne faut pas non plus oublié que, même si google garde la faille secrète pendant 3 mois, d’autres personnes (black hat, NSA, etc…) peuvent très bien être au courant de cette faille et être déjà en train de l’exploiter…
Et 3 mois pour corriger une faille, c’est déjà bien assez long. Si je laissait une faille identifié dans ma boîte pendant 3 mois, je pourrais déjà aller me chercher un autre job… Et on est pas une armée de centaines de dev!
#8
#9
je dirais plutôt le contraire moi.
#10
il me semble que s’ils ont sorti 3j avant la fin de l’embargo c’est parce que ça avait déjà fuité ailleurs depuis quelques temps.
#11
en l’occurrence c’est MS qui s’est foiré quelque part dans son analyse, puisqu’ils annoncent “il y a trois jours, veille de la date limite, […] que le correctif était plus complexe à développer qu’anticipé”.
#12
Ca ne change rien au fait que Google sait que parfois ça peut prendre plus de 3 mois, que c’est pas tout le temps si simple…..
#13
#14
Dorénavant, afin de rendre le web plus sûr, Google publiera systématiquement le code d’un malware exploitant les failles non corrigées.
Merci Google.
#15
Google sait aussi très bien que s’ils commencent à discuter avec tout le monde et pondre une deadline à la tête du client qui ne sera donc plus une deadline, autant pisser dans un violon.
“89j plus tard”
“29j plus tard”
“19j plus tard”
“9j plus tard”
“4j plus tard”
“le lendemain”
bien évidemment toute ressemblance avec des situations existantes ou ayant existé ne seraient que fortuite.
#16
#17
Ben franchement Project Zero oui, ils font du bon taf.
ça évite de retrouver les mêmes dans des mains peu scrupuleuses.
par contre j’ai pas suivi concernant leurs propres failles (dsl j’ai pas de Chromebook ^^).
#18
#19
Le monde de l’informatique avait désespérément besoin de Google.
Ou alors ce monde fonctionnait très bien avant et Google fait juste “de la publicité” autour du traitement de cette information là.
Il existe de nombreuses initiatives de recensement de bug qui ont un sérieux bien plus grand que Project Zéro et qui en plus, puisque non lié, ont une gestion impartiale quelque soit le firme touchée. Google, on les entends beaucoup moins quand c’est eux qui ont le nez dans la merde.
#20
c’est pas du recensement de bugs, project zero. ^^
#21
Je viens de parcourir le bug report sur Google, et il y a quelque chose qui ne me parait pas clair:
Ok, cela contourne l’ACG (en gros, si je ne dis pas de bêtise, le flag qui indique qu’un code est exécutable mais pas inscriptible). Cependant, tout seul ce bug ne permet pas de compromettre quoi que ce soit, puisqu’il faudrait encore découvrir quelquepart dans Edge un moyen d’écrire à cette adresse (un buffer overflow me parait tout indiqué) (par contre envoyer le flot d’exécution à cet endroit est simple puisque c’est l’endroit ou réside le js “jitté”).
Donc que ce soit une faille qu’il faille (désolé " />) corriger, certes, mais que l’on en fasse tout un foin…. bof.
Ou alors j’ai raté un épisode?
#22
#23
Est-ce que tu aurais l’adresse du communiqué de presse de Google ?
#24
ah ouf, je ne suis pas fou :)