Connexion
Abonnez-vous

Google révèle une faille 0-day déjà exploitée dans Windows, correction le 10 novembre

Google révèle une faille 0-day déjà exploitée dans Windows, correction le 10 novembre

Le 02 novembre 2020 à 08h45

Via son Project Zero, Google a publié vendredi les détails d’une faille (CVE-2020-17087) affectant toutes les versions de Windows depuis 7, y compris la dernière révision 20H2 de Windows 10.

Google l’a trouvée car elle est exploitée en conjonction d’une faille de Chrome (CVE-2020-15999). Ensemble, elles permettent à un pirate de s’échapper de la sandbox du navigateur et d’obtenir des privilèges supplémentaires pour exécuter du code.

La vulnérabilité étant déjà exploitée, les détails de la faille ont été publiés sept jours seulement après avertissement à Microsoft. La société a répondu que le correctif serait distribué le 10 novembre, jour du prochain Patch Tuesday.

La brèche réside dans le Kernel Cryptography Driver (cng.sys). Google en fournit des informations détaillées dans sa publication, ainsi qu’un proof-of-concept dont le code peut être téléchargé. La faille dans Chrome a été corrigée il y a deux semaines dans la mouture 86.0.4240.1111 du navigateur.

Shane Huntly, directeur du Threat Analysis Group chez Google, a précisé que l’exploitation de ces deux failles n’était pas liée aux élections américaines. 

Le 02 novembre 2020 à 08h45

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Cool, je peux donc porter plainte contre Google pour avoir compromis la sécurité de mon ordinateur personnel, alors.

votre avatar

non puisque Google a corrigé la faille de son navigateur. Ce sera donc de ta faute si tu ne mets pas à jour ton navigateur.

votre avatar

Si je découvre, et dévoile publiquement le moyen de cambrioler une banque sans se faire prendre, tu penses vraiment qu’on va dire au mec qui se sera fait piquer son fric “C’est votre faute, vous n’aviez qu’à changer de banque quand TofVW a dévoilé la faille”?
Et tu penses vraiment que je n’aurai pas à craindre de représailles? On va me traiter en héros, tu crois?

votre avatar

La banque ne sera pas couverte par son assurance car elle n’aura pas corrigé ses failles de sécurité :fumer:
Ce sera donc à la banque de rembourser ses clients sur ses fonds propres.

votre avatar

Oui, car dans cet exemple, la banque a un moyen de réparer son erreur après coup. Mais si je me fais piquer des données à cause de ce dont on parle dans l’article, il sera trop tard, et je l’aurai mauvaise envers Google, encore plus qu’envers Microsoft (les 2 sont fautifs, de toute façon).

votre avatar

Google a publié le POC car la faille est déjà utilisée et ils ont corrigé la faille côté navigateur.
Ils ont fait leur boulot.
Si Google ne dit rien, Microsoft corrigera sa faille dans 6 mois quand ils auront le temps et pendant ce temps là les hackers se seront gavés.

votre avatar

Et en dévoilant la faille, ça va rameuter tous les hackers pour une journée portes ouvertes.



De toute façon, Microsoft va corriger pour le prochain patch Tuesday, était-ce vraiment nécessaire de tout dévoiler maintenant, au lieu d’attendre un peu? Surtout que si MS sortait le patch en urgence et qu’il y a un bug, c’est encore sur eux qu’on va taper.
A un moment faut arrêter, Google a sa part de torts, point.

votre avatar

Bonne chance…

votre avatar

Yen a encore pour croire que le web applicatif en l’état à un avenir ?



À quand la scission de l’applicatif et du web «classique» ? Niveau sécurité c’est vraiment moisi le web…

votre avatar

Le projet Gemini devrait t’intéresser alors :-)



https://drewdevault.com/2020/11/01/What-is-Gemini-anyway.html

votre avatar

Je trouve choquant que Google mette autant de temps a avertir Microsoft. Ils ont attendu d’avoir patché leur propre faille avant de prévenir de qui de droit.
C’est du moins ce que j’en déduit de la temporalité des faits énoncé dans la brève.

votre avatar

la question que je me pose, c’est si Firefox est concerné aussi … :-( et idem pour la version Chrome de Edge

votre avatar

” elle est exploitée en conjonction d’une faille de Chrome (CVE-2020-15999). Ensemble, elles permettent à un pirate… “
Donc, si je n’utilise pas Chrome, je suis à l’abri… J’ai bon ? :D

votre avatar

Beaucoup de navigateurs sont basés sur Chrome/Chromium ou son moteur. En fait quasiment tous (Edge, Opéra, Safari…) sauf Firefox et Internet Explorer.



edit : turbo grillé, j’aurais dû lire tous les commentaires avant de poster.

votre avatar

BlueRay a dit:


“ elle est exploitée en conjonction d’une faille de Chrome (CVE-2020-15999). Ensemble, elles permettent à un pirate… ” Donc, si je n’utilise pas Chrome, je suis à l’abri… J’ai bon ? :D


Non, pas si tu utilise EDGE: docs.microsoft.com Microsoft



Il faut la version 86.0.622.51.

votre avatar

Microsoft Edge est à jour.
Version 86.0.622.58 (Version officielle) (64 bits)



Donc la faille pour Edge est colmatée (02/11/2020) :copain: :inpactitude:

votre avatar

tpeg5stan a dit:


Beaucoup de navigateurs sont basés sur Chrome/Chromium ou son moteur. En fait quasiment tous (Edge, Opéra, Safari…) sauf Firefox et Internet Explorer.



edit : turbo grillé, j’aurais dû lire tous les commentaires avant de poster.


ah y’a une coquille dans ton commentaire, safari utilise webkit qui est la base qu’a utilisé google pour créer le moteur de chromium (si mes souvenir sont juste).
du coup safari n’utilise pas ce moteur mais “l’ancetre” (amélioré) du moteur de chrome.




dumbledore a dit:


Microsoft Edge est à jour. Version 86.0.622.58 (Version officielle) (64 bits)



Donc la faille pour Edge est colmatée (02/11/2020) :copain: :inpactitude:


L’équipe du nouvelle Edge réagit promptement au mise a jours de sécurité de chromium, c’est le seul points que je reproche au navigateur “Vivaldi” qui par manque de moyen est plus “lent” a suivre chromium.

Google révèle une faille 0-day déjà exploitée dans Windows, correction le 10 novembre

Fermer