Les failles zero-day commencent à s’accumuler chez Microsoft. La semaine dernière, Google Project Zero avait publié les détails techniques d’une faille non patchée dans Windows, permettant d’accéder à la mémoire d’une machine au travers d’un fichier piégé.
Cette fois-ci, les chercheurs en sécurité ont trouvé encore mieux : une faille zero-day dans Edge et Internet Explorer 11 qui permet l’exécution de code arbitraire à distance, avec les privilèges administrateur (CVE-2017-0037). Cette vulnérabilité – dont la sévérité a été classée comme « importante » par Google – résulte d’un bug dans la gestion de pointeurs dans un appel de fonction du navigateur.
Conformément à leur charte, les chercheurs de Google Project Zero ont publié sur leur site les détails techniques de cette faille 90 jours après avoir alerté Microsoft. Un code d’exploitation écrit en HTML et Javascript est également disponible sur exploit-db.com. Espérons que l’éditeur va colmater cette faille au prochain « Patch Tuesday » prévue pour le 14 mars. D’ici là, les utilisateurs ont intérêt à utiliser un autre navigateur, tel que Chrome ou Firefox.
Pour Microsoft, il s’agit là en fait de la troisième faille zero-day en circulation actuellement. Début février, le chercheur indépendant Laurent Gaffié – alias PythonResponder – avait en effet publié les détails d’une vulnérabilité dans le protocole de partage de fichiers SMB (Server Message Block). Elle permettrait l’exécution de code arbitraire avec les privilèges du kernel. Un code d’exploitation est, là aussi, disponible sur exploit-db.com.
L’accumulation de ces failles non corrigées rend de plus en plus difficile la recherche d’une réponse logique à une question apparemment toute simple : pourquoi Microsoft, qui est plutôt réactif sur ces sujets, met-il autant de temps pour corriger toutes ces failles ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.