+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 122
    Points : 70 794
    Points
    70 794

    Par défaut Google publie des détails sur une faille non corrigée d'IE et Microsoft Edge

    Google publie des détails sur une faille non corrigée d'IE et Microsoft Edge,
    qui a été signalée en fin novembre

    Depuis le lancement du projet Google Zero, les chercheurs qui constituent l’équipe traquent les failles dans les systèmes et accordent un délai à l’éditeur (souvent de 90 jours) pour publier un correctif. Passé ce délai, ils publient les détails de la faille, ce qui va permettre à n’importe qui d’exploiter la vulnérabilité en question, mais mettra suffisamment de pression à l’éditeur pour l’obliger à la colmater au plus vite.

    Si, au début du mois de février, l’équipe du projet Google Zero révélait une faille au sein d’une bibliothèque graphique de Windows (dont l’exploitation permet à un attaquant d’accéder et d’exfiltrer certaines informations potentiellement sensibles stockées dans la mémoire de la machine), cette fois-ci les chercheurs ont dévoilé une faille sur le navigateur Microsoft Edge, livré avec Windows 10, et Internet Explorer.

    C’est le 25 novembre dernier que la vulnérabilité, désormais répertoriée comme étant CVE-2017-0037, a été signalée. Elle permet d’exploiter une confusion de type d’objet au sein des navigateurs, pouvant permettre à un attaquant de faire planter le navigateur.

    Certains lecteurs ont été en mesure de reproduire l’exploit sur Internet Explorer 11, mais pas sur Edge 38. Aussi, ils ont posé des questions à l’équipe Google Zero. Visiblement, le chercheur à l’origine de la découverte a répondu avec le nom utilisé par tous les membres du projet (Project Member) : « je ne ferai pas d'autres commentaires sur l'exploitabilité, du moins pas jusqu'à ce que le bogue soit corrigé. Le rapport comporte trop d'informations sur ce dont il s’agit (je ne m'attendais pas vraiment à ce que l'on dépasse la date limite) ».

    Il a quand même répondu à la question demandant son avis si c’était lui qui devait corriger le bogue : « la première étape consisterait à déterminer pourquoi la confusion de type s'est produite en premier lieu. Ajouter une vérification de type quelque part dans la fonction vulnérable pourrait être suffisant, mais cela pourrait également juste correspondre à corriger le symptôme et non la cause. Mon hypothèse est que, étant donné qu'il y a 2 types de colonnes dans DOM: html table columns et CSS columns, IE / Edge confond les deux ».

    Il est fort probable que Microsoft corrige ce problème durant le prochain Patch Tuesday qui devrait arriver au début du mois de mars.

    Source : Project Zero (détails sur la faille)

    Et vous ?

    Que pensez-vous de la politique du Project Zero ? Participe-t-elle à rendre l'écosystème des services et applications plus sûrs ? Pourquoi ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 473
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 473
    Points : 4 927
    Points
    4 927
    Billets dans le blog
    6

    Par défaut

    Même si il est bien de forcer la résolution rapide des bogues il faudrait aussi que Google fasse les révélations en 2 temps, la ils font une livraison sur plateau d'argent aux pirates. Je suis près à parier qu'ils se donnent un traitement différents quand ils on des retards pour les correctifs.
    merci de me mettre des quand mes messages sont pertinent, et pour les pas contents voici mon service client pour eux

    [Projet en cours] Strategy(nom provisoire) - Advance wars like
    cordova-plugin-file-hash Plugin cordova servant à obtenir le hash d'un fichier

  3. #3
    Expert confirmé

    Inscrit en
    août 2006
    Messages
    3 737
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 3 737
    Points : 5 142
    Points
    5 142

    Par défaut

    Bonjour,
    Citation Envoyé par TiranusKBX Voir le message
    Même si il est bien de forcer la résolution rapide des bogues il faudrait aussi que Google fasse les révélations en 2 temps, la ils font une livraison sur plateau d'argent aux pirates. Je suis près à parier qu'ils se donnent un traitement différents quand ils on des retards pour les correctifs.
    J'allais le dire.

    Tout en faisant semblant de vouloir aider MS, ils donnent clés en main les moyens de pirater.

    Il serait amusant que MS leur rende la pareille, en publiant - et en donnant les moyens de les exploiter - les failles des logiciels de Google (et il y en a forcément !).
    Il court en ce moment une espèce de grippe, mais elle ne court pas très vite, car on peut l'attraper sans courir.

  4. #4
    Membre à l'essai
    Homme Profil pro
    Développeur informatique
    Inscrit en
    avril 2013
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 3
    Points : 14
    Points
    14

    Par défaut

    Ce n'est pas comme si ils ne laissaient pas le temps de réagir.

    Ils donnent 90 jours à l'éditeur pour corriger la faille, passé ce délai il faut bien motiver l'éditeur qui, si c'était sans conséquence, prendrait parfois beaucoup plus longtemps pour sortir un patch, mettant en danger la sécurité de ses utilisateurs.

    Si Microsoft trouve une faille chez Google et qu'après 90 jours elle n'est pas corrigée, ils ont toute légitimité pour publier leur découverte

  5. #5
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 473
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 473
    Points : 4 927
    Points
    4 927
    Billets dans le blog
    6

    Par défaut

    @Mograine
    Certains Bug nécessitent de faire beaucoup de modification pour les corriger et ça peut prendre 6 mois pour les plus compliqués pour vérifier tous les éléments impactés.
    Vus la faille trouvé c'est une erreur de conception qui remonte très haut et nécessite donc beaucoup de temps pour vérifier l'impact sur le reste du code voir de nombreux sous-correctifs
    merci de me mettre des quand mes messages sont pertinent, et pour les pas contents voici mon service client pour eux

    [Projet en cours] Strategy(nom provisoire) - Advance wars like
    cordova-plugin-file-hash Plugin cordova servant à obtenir le hash d'un fichier

  6. #6
    Expert confirmé

    Inscrit en
    août 2006
    Messages
    3 737
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 3 737
    Points : 5 142
    Points
    5 142

    Par défaut

    Bonjour,

    Je suis d'accord avec TiranusKBX.

    Savoir qu'il y a une faille ne suffit pas pour la corriger en un claquement de doigts.

    Il y a des cas qui peuvent demander beaucoup de travail, et donc de temps.
    Il court en ce moment une espèce de grippe, mais elle ne court pas très vite, car on peut l'attraper sans courir.

  7. #7
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 276
    Points : 6 097
    Points
    6 097

    Par défaut

    Citation Envoyé par TiranusKBX Voir le message
    Certains Bug nécessitent de faire beaucoup de modification pour les corriger (...)
    je comprends ce que tu dis et si dans le principe je suis d'accord, je suis malgré tout du même avis Mograine, dans l'idéal il faut prendre le temps de faire les choses bien, c'est compliqué etc. etc. oui mais là y'a pas le choix, à plus forte raison si la faille est critique

    il faut patcher nickel et c'est pour hier, 1.5 mois ça parait raisonnable, peut-être pas pour les dev qui vont s'arracher les cheveux certes, mais pour le quidam qui lui est en attente d'un patch et pour l'opinion publique de manière générale ça l'est

    qui plus est ce n'est pas la première fois que Microsoft se voit reprocher de mettre trop de temps à patcher des bugs de sécu, la difficulté est la même pour tout le monde, mais eux sont notoirement souvent plus lambins que les autres qui se donnent peut-être les moyens différemment

    et puis on va pas dire qu'on est particulièrement étonnés non plus, Google et Microsoft sont concurrents sur à peu près tout, y compris les browsers, par le passé il est arrivé à Microsoft d'avoir une politique jugée très agressive vis à vis de ses concurrents, là c'est eux qui prennent les coups au lieu de les donner, bon... business is business.
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  8. #8
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 473
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 473
    Points : 4 927
    Points
    4 927
    Billets dans le blog
    6

    Par défaut

    @BufferBob
    Tu veut que l'on compare avec Apple, Adobe et Oracle ?
    Microsoft est bien plus rapide qu'eux pour les correctifs de sécurité et en plus leur base de code est bien plus étendue
    merci de me mettre des quand mes messages sont pertinent, et pour les pas contents voici mon service client pour eux

    [Projet en cours] Strategy(nom provisoire) - Advance wars like
    cordova-plugin-file-hash Plugin cordova servant à obtenir le hash d'un fichier

Discussions similaires

  1. La NSA publie des détails sur les abus de ses employés
    Par Hinault Romaric dans le forum Actualités
    Réponses: 3
    Dernier message: 30/12/2014, 00h03
  2. Réponses: 7
    Dernier message: 19/01/2011, 12h56
  3. Réponses: 2
    Dernier message: 14/01/2011, 14h07
  4. Réponses: 0
    Dernier message: 13/03/2010, 11h20
  5. concaténation des status d'un détail sur une ligne
    Par orafrance dans le forum Oracle
    Réponses: 11
    Dernier message: 02/06/2006, 10h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo