Google rend publique une nouvelle vulnérabilité de Microsoft Edge

Par
Le 20 février 2018
 0
Camouflet pour Microsoft : Project Zero, l'équipe d'experts en sécurité informatique de Google, a mis au jour une nouvelle faille dans le code source du navigateur web de Windows 10. Google assure n'avoir eu d'autre choix que de la révéler publiquement, faute de voir son concurrent diffuser un correctif.

C'est une nouvelle bataille dans la guerre sans merci que se livrent les deux géants du web.

Un délai de 90 jours laissé à Microsoft


On pourrait se dire que c'est plutôt sympa de la part de Google d'avertir Microsoft que son navigateur web contient une faille qui avait échappé à la vigilance de ses développeurs. Mais c'est surtout un joli croche-pied. Project Zero, la brigade spécialisée en sécurité informatique de Google, vient en effet de rendre publique une vulnérabilité de Edge qui embarrasse bien Microsoft.

Il s'agit concrètement d'un problème de sécurité de niveau moyen, qui permet au hacker de contourner les fonctions de sécurité de Edge afin de loger dans la mémoire de la machine ciblée un code malicieux. Google Project Zero explique avoir découvert ladite faille au mois de novembre. Microsoft a été aussitôt prévenu. Google lui a laissé 90 jours pour rectifier le tir. Mais comme Microsoft n'a toujours pas publié de correctif, Google s'est senti le droit de rendre sa découverte publique.

01f4000008791800-photo-microsoft.jpg


Project Zero lancé à cause de Microsoft


Microsoft a exceptionnellement bénéficié d'un sursis supplémentaire de 14 jours. Le groupe s'était engagé à intégrer une correction dans un patch diffusé mi-février. Mais la diffusion du correctif a été retardée, Microsoft expliquant que le problème se montrerait plus complexe que prévu.

Déjà fin 2015, Google avait signalé à son concurrent un problème de sécurité dans Windows. Et déjà, Google avait dû la divulguer car des hackers exploitaient activement cette faille. Les problèmes de Edge ne devraient donc pas améliorer les relations entre les deux géants de la Tech. D'autant qu'à l'origine, Google a décidé de lancer Project Zero précisément à cause de failles de sécurité dans l'ancêtre d'Edge, Internet Explorer 6. C'était en 2009, une opération baptisée Aurora, menée par une équipe chinoise liée au gouvernement de Pékin ; les hackers avaient pillé les serveurs de Google en exploitant une faille du navigateur de Microsoft...

Modifié le 01/06/2018 à 15h36

Les dernières actualités Sécurité informatique

scroll top