Via son Project Zero, Google a publié vendredi les détails d’une faille (CVE-2020-17087) affectant toutes les versions de Windows depuis 7, y compris la dernière révision 20H2 de Windows 10.
Google l’a trouvée car elle est exploitée en conjonction d’une faille de Chrome (CVE-2020-15999). Ensemble, elles permettent à un pirate de s’échapper de la sandbox du navigateur et d’obtenir des privilèges supplémentaires pour exécuter du code.
La vulnérabilité étant déjà exploitée, les détails de la faille ont été publiés sept jours seulement après avertissement à Microsoft. La société a répondu que le correctif serait distribué le 10 novembre, jour du prochain Patch Tuesday.
La brèche réside dans le Kernel Cryptography Driver (cng.sys). Google en fournit des informations détaillées dans sa publication, ainsi qu’un proof-of-concept dont le code peut être téléchargé. La faille dans Chrome a été corrigée il y a deux semaines dans la mouture 86.0.4240.1111 du navigateur.
Shane Huntly, directeur du Threat Analysis Group chez Google, a précisé que l’exploitation de ces deux failles n’était pas liée aux élections américaines.
Commentaires (17)
#1
Cool, je peux donc porter plainte contre Google pour avoir compromis la sécurité de mon ordinateur personnel, alors.
#1.1
non puisque Google a corrigé la faille de son navigateur. Ce sera donc de ta faute si tu ne mets pas à jour ton navigateur.
#1.2
Si je découvre, et dévoile publiquement le moyen de cambrioler une banque sans se faire prendre, tu penses vraiment qu’on va dire au mec qui se sera fait piquer son fric “C’est votre faute, vous n’aviez qu’à changer de banque quand TofVW a dévoilé la faille”?
Et tu penses vraiment que je n’aurai pas à craindre de représailles? On va me traiter en héros, tu crois?
#1.3
La banque ne sera pas couverte par son assurance car elle n’aura pas corrigé ses failles de sécurité
Ce sera donc à la banque de rembourser ses clients sur ses fonds propres.
#1.4
Oui, car dans cet exemple, la banque a un moyen de réparer son erreur après coup. Mais si je me fais piquer des données à cause de ce dont on parle dans l’article, il sera trop tard, et je l’aurai mauvaise envers Google, encore plus qu’envers Microsoft (les 2 sont fautifs, de toute façon).
#1.5
Google a publié le POC car la faille est déjà utilisée et ils ont corrigé la faille côté navigateur.
Ils ont fait leur boulot.
Si Google ne dit rien, Microsoft corrigera sa faille dans 6 mois quand ils auront le temps et pendant ce temps là les hackers se seront gavés.
#1.6
Et en dévoilant la faille, ça va rameuter tous les hackers pour une journée portes ouvertes.
De toute façon, Microsoft va corriger pour le prochain patch Tuesday, était-ce vraiment nécessaire de tout dévoiler maintenant, au lieu d’attendre un peu? Surtout que si MS sortait le patch en urgence et qu’il y a un bug, c’est encore sur eux qu’on va taper.
A un moment faut arrêter, Google a sa part de torts, point.
#1.7
Bonne chance…
#2
Yen a encore pour croire que le web applicatif en l’état à un avenir ?
À quand la scission de l’applicatif et du web «classique» ? Niveau sécurité c’est vraiment moisi le web…
#2.1
Le projet Gemini devrait t’intéresser alors :-)
https://drewdevault.com/2020/11/01/What-is-Gemini-anyway.html
#3
Je trouve choquant que Google mette autant de temps a avertir Microsoft. Ils ont attendu d’avoir patché leur propre faille avant de prévenir de qui de droit.
C’est du moins ce que j’en déduit de la temporalité des faits énoncé dans la brève.
#4
la question que je me pose, c’est si Firefox est concerné aussi … :-( et idem pour la version Chrome de Edge
#5
” elle est exploitée en conjonction d’une faille de Chrome (CVE-2020-15999). Ensemble, elles permettent à un pirate… “
Donc, si je n’utilise pas Chrome, je suis à l’abri… J’ai bon ?
#5.1
Beaucoup de navigateurs sont basés sur Chrome/Chromium ou son moteur. En fait quasiment tous (Edge, Opéra, Safari…) sauf Firefox et Internet Explorer.
edit : turbo grillé, j’aurais dû lire tous les commentaires avant de poster.
#6
Non, pas si tu utilise EDGE: https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
Il faut la version 86.0.622.51.
#7
Microsoft Edge est à jour.
Version 86.0.622.58 (Version officielle) (64 bits)
Donc la faille pour Edge est colmatée (02/11/2020)
#8
ah y’a une coquille dans ton commentaire, safari utilise webkit qui est la base qu’a utilisé google pour créer le moteur de chromium (si mes souvenir sont juste).
du coup safari n’utilise pas ce moteur mais “l’ancetre” (amélioré) du moteur de chrome.
L’équipe du nouvelle Edge réagit promptement au mise a jours de sécurité de chromium, c’est le seul points que je reproche au navigateur “Vivaldi” qui par manque de moyen est plus “lent” a suivre chromium.