Microsoft renforce ses moyens d'enquête sur des vulnérabilités externes

La firme vient de mettre à jour son document relatif à la publication de failles de sécurité (Coordinated Vulnerability Disclosure). Désormais, Microsoft promet une meilleure coordination entre vendeurs tiers, équipes de recherche internes (Microsoft Vulnerability Research team) mais également avec les experts externes.

Le CVD est un texte qui régit la manière dont les experts en sécurité de Microsoft travaillent en matière de recherches de vulnérabilités. Les équipes de Redmond ont donc décidé de revoir leur politique de « disclosure » (communication des failles de sécurité) afin de publier des avis de sécurité concernant des produits non-Microsoft.

Concrètement, la firme met en application sa politique de publication d'avis sur des vulnérabilités rencontrées et corrigées par les éditeurs tiers. Cette semaine, Microsoft a ainsi mis en ligne ses deux premiers avis du MSVR au sujet du navigateur Chrome.

Le premier, sobrement baptisé MSVR-001 couvre une vulnérabilité découverte dans le navigateur Chrome sur les versions antérieures à la 6.0.472.59. Une vulnérabilité dans l'outil Sandbox pourrait permettre l'exécution d'un code malveillant.

La seconde note (MSVR-002) diagnostique une vulnérabilité dans les versions 8.0.552.210 et antérieures de Chrome mais également dans les versions 10.62 d'Opera. Elle concerne une faille dans l'implémentation du HTML5 dans lesdits navigateurs. Par ce biais, une personne pourrait recueillir des données privées appartenant à un utilisateur visé.

Enfin, Microsoft indique également qu'il publiera des avis de sécurité si des vulnérabilités ont été exploitées. La communication sera faite après que le correctif soit apporté par l'éditeur concerné.