Une faille "zero day" dans Internet Explorer et Edge

La hache de guerre entre Google et Microsoft est définitivement déterrée : après avoir dévoilé les détails d'une faille « zero day », considérées comme les failles les plus dangereuses, de l'OS de la firme de Redmond Windows, voilà que l'équipe de recherche en sécurité informatique de Google en remet une couche. Cette fois, ce sont les navigateurs internet de Microsoft qui sont concernés.

La faille aurait pu être un peu moins grave si seul Internet Explorer, l'ancien navigateur de Microsoft largement critiqué par les internautes, avait été concerné. Mais le nouveau, Edge, aurait la même vulnérabilité.


Un fichier piégé donne accès à la mémoire de l'ordinateur


Selon les équipes de Google, la faille serait présente à la fois dans Internet Explorer 11 et dans le nouveau navigateur Edge ce qui fait que, potentiellement, elle concerne tous les ordinateurs ayant comme OS Windows et dont les utilisateurs n'ont pas installé de navigateur tiers comme Chrome ou Firefox. Ironie du sort : Windows prétendait que Edge était plus sûr que ses deux principaux concurrents... mais on parlait alors de ransomwares.

Microsoft Edge logo gb sq

Concernant la faille en elle-même, elle permettrait d'accéder à la mémoire physique de l'ordinateur de l'utilisateur grâce à un fichier piégé. Les pirates peuvent, en exploitant cette faille, lancer du code à distance. De plus, ce code pourrait être lancé avec les privilèges « administrateur », permettant de réaliser des changements considérables voire de prendre le contrôle de la machine.


Microsoft, prévenu 90 jours à l'avance, n'a rien corrigé


Comme toujours, selon la politique parfois critiquée de Google, Microsoft a été prévenue trois mois avant la mise en ligne de cette faille par les équipes de Google. Une fois ce délai passé, Google décide de rendre publiques les failles de sécurité pour mettre la pression sur les éditeurs. Il est donc possible que Microsoft ait déjà prévu un correctif.

Le groupe de Redmond a en effet dû reporter sa dernière mise à jour de sécurité « patch tuesday » qui devrait combler la faille de sécurité présente dans Windows et, fort probablement, celle de ses navigateurs. Réponse le 14 mars 2017, date prévue pour la mise à jour si aucun autre problème ne survient d'ici-là.

Modifié le 28/02/2017 à 16h45
Commentaires