Discussion :

[Victor Vincent]

Chrome : une équipe de chercheurs chez Microsoft met à nu une vulnérabilité
permettant l’exécution de code à distance sur le navigateur de Google

Une équipe de chercheur chez Microsoft a découvert une faille dans le navigateur web de Google permettant l’exécution de code à distance. Cette vulnérabilité référencée par le code CVE-2017-5121 par l’équipe Offensive Security Research (OSR) de Microsoft pourrait permettre aux attaquants d'accéder à des services en ligne utilisés par leur victime, notamment les courriels, les documents et les opérations bancaires en ligne. Microsoft a critiqué la façon dont Google gère la sécurité de son navigateur pointant du doigt un manque relatif de migration RCE de Chrome, ce qui rendrait possible d’exploiter des failles liées à un bogue affectant la mémoire. La méthode utilisée par l’équipe de chercheurs de Microsoft pour découvrir cette faille a souvent été utilisée par les équipes de Google notamment pour mettre à nu des failles des produits Microsoft.

Les efforts de l’équipe Offensive Security Research de Microsoft ont été reconnus par Google qui lui a versé une prime plus de quinze mille dollars pour la découverte de cette vulnérabilité et d’autres bogues qui n’ont pas été divulgués. La société a aussi procédé dans la foulée à une donation de trente mille dollars au centre d’éducation Denise Louise.

Les chercheurs de l’équipe Offensive Security Research de Microsoft ont également profité de cette occasion pour mettre en avant les points forts du navigateur Edge. En effet, selon l’équipe de chercheurs, Microsoft Edge serait beaucoup plus difficile à compromettre même lorsque des failles auraient été découvertes dans le navigateur. Elle explique cela par le fait que les équipes derrière Edge ont adopté une approche différente de ce qui se fait par les équipes de Google Chrome. L’équipe déclare à ce sujet qu’« aucune de ces techniques ne serait directement applicable à Microsoft Edge, qui comporte à la fois des fonctionnalités comme CFG et ACG. ACG, qui a été introduit dans Windows 10 Creators Update, applique la prévention stricte de l'exécution des données (DEP, Data Execution Prevention) et place le compilateur JIT dans un processus externe. Cela crée une forte garantie que les attaquants ne peuvent pas écraser le code exécutable sans compromettre d'une manière ou d'une autre le processus JIT. »

Source : Blog Microsoft

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Chrome Cleanup : Chrome pour Windows se dote de fonctionnalités basiques d’antivirus avec la détection et la suppression de logiciels indésirables

[sbeex]

On voit souvent google tacler edge mais ms tacle aussi chrome c'est bien les deux vont évoluer WIN/WIN

[Tartare2240]

Tenez... A votre avis, les équipes de Microsoft/Google passent plus de temps à chercher des bugs dans leur navigateur ou celui des autres ?

[Ryu2000]

Qu'en pensez-vous ?

C'est de la bonne concurrence dans une bonne ambiance.
Je trouve ça cool

D'un côté on pourrait se dire que Microsoft se la pète, en disant que, grâce à sa conception, Edge ne peut pas subir ce type de faille.

Mais ce qu'on retient surtout c'est que ce sont des concurrents qui cherchent des problèmes dans les produits des autres et qui les partagent.
Au final les logiciels deviennent plus fiable (bon après c'est relatif puisqu'il doit y avoir des backdoors dans les logiciels de Microsoft et de Google).