Discussion :

[Stéphane le calme]

Google publie des détails sur une faille non corrigée d'IE et Microsoft Edge,
qui a été signalée en fin novembre

Depuis le lancement du projet Google Zero, les chercheurs qui constituent l’équipe traquent les failles dans les systèmes et accordent un délai à l’éditeur (souvent de 90 jours) pour publier un correctif. Passé ce délai, ils publient les détails de la faille, ce qui va permettre à n’importe qui d’exploiter la vulnérabilité en question, mais mettra suffisamment de pression à l’éditeur pour l’obliger à la colmater au plus vite.

Si, au début du mois de février, l’équipe du projet Google Zero révélait une faille au sein d’une bibliothèque graphique de Windows (dont l’exploitation permet à un attaquant d’accéder et d’exfiltrer certaines informations potentiellement sensibles stockées dans la mémoire de la machine), cette fois-ci les chercheurs ont dévoilé une faille sur le navigateur Microsoft Edge, livré avec Windows 10, et Internet Explorer.

C’est le 25 novembre dernier que la vulnérabilité, désormais répertoriée comme étant CVE-2017-0037, a été signalée. Elle permet d’exploiter une confusion de type d’objet au sein des navigateurs, pouvant permettre à un attaquant de faire planter le navigateur.

Certains lecteurs ont été en mesure de reproduire l’exploit sur Internet Explorer 11, mais pas sur Edge 38. Aussi, ils ont posé des questions à l’équipe Google Zero. Visiblement, le chercheur à l’origine de la découverte a répondu avec le nom utilisé par tous les membres du projet (Project Member) : « je ne ferai pas d'autres commentaires sur l'exploitabilité, du moins pas jusqu'à ce que le bogue soit corrigé. Le rapport comporte trop d'informations sur ce dont il s’agit (je ne m'attendais pas vraiment à ce que l'on dépasse la date limite) ».

Il a quand même répondu à la question demandant son avis si c’était lui qui devait corriger le bogue : « la première étape consisterait à déterminer pourquoi la confusion de type s'est produite en premier lieu. Ajouter une vérification de type quelque part dans la fonction vulnérable pourrait être suffisant, mais cela pourrait également juste correspondre à corriger le symptôme et non la cause. Mon hypothèse est que, étant donné qu'il y a 2 types de colonnes dans DOM: html table columns et CSS columns, IE / Edge confond les deux ».

Il est fort probable que Microsoft corrige ce problème durant le prochain Patch Tuesday qui devrait arriver au début du mois de mars.

Source : Project Zero (détails sur la faille)

Et vous ?

Que pensez-vous de la politique du Project Zero ? Participe-t-elle à rendre l'écosystème des services et applications plus sûrs ? Pourquoi ?

[TiranusKBX]

Même si il est bien de forcer la résolution rapide des bogues il faudrait aussi que Google fasse les révélations en 2 temps, la ils font une livraison sur plateau d'argent aux pirates. Je suis près à parier qu'ils se donnent un traitement différents quand ils on des retards pour les correctifs.

[droggo]

Bonjour,

Même si il est bien de forcer la résolution rapide des bogues il faudrait aussi que Google fasse les révélations en 2 temps, la ils font une livraison sur plateau d'argent aux pirates. Je suis près à parier qu'ils se donnent un traitement différents quand ils on des retards pour les correctifs.

J'allais le dire.

Tout en faisant semblant de vouloir aider MS, ils donnent clés en main les moyens de pirater.

Il serait amusant que MS leur rende la pareille, en publiant - et en donnant les moyens de les exploiter - les failles des logiciels de Google (et il y en a forcément !).

[Mograine]

Ce n'est pas comme si ils ne laissaient pas le temps de réagir.

Ils donnent 90 jours à l'éditeur pour corriger la faille, passé ce délai il faut bien motiver l'éditeur qui, si c'était sans conséquence, prendrait parfois beaucoup plus longtemps pour sortir un patch, mettant en danger la sécurité de ses utilisateurs.

Si Microsoft trouve une faille chez Google et qu'après 90 jours elle n'est pas corrigée, ils ont toute légitimité pour publier leur découverte

[TiranusKBX]

@Mograine
Certains Bug nécessitent de faire beaucoup de modification pour les corriger et ça peut prendre 6 mois pour les plus compliqués pour vérifier tous les éléments impactés.
Vus la faille trouvé c'est une erreur de conception qui remonte très haut et nécessite donc beaucoup de temps pour vérifier l'impact sur le reste du code voir de nombreux sous-correctifs

[droggo]

Bonjour,

Je suis d'accord avec TiranusKBX.

Savoir qu'il y a une faille ne suffit pas pour la corriger en un claquement de doigts.

Il y a des cas qui peuvent demander beaucoup de travail, et donc de temps.

[BufferBob]

Certains Bug nécessitent de faire beaucoup de modification pour les corriger (...)

je comprends ce que tu dis et si dans le principe je suis d'accord, je suis malgré tout du même avis Mograine, dans l'idéal il faut prendre le temps de faire les choses bien, c'est compliqué etc. etc. oui mais là y'a pas le choix, à plus forte raison si la faille est critique

il faut patcher nickel et c'est pour hier, 1.5 mois ça parait raisonnable, peut-être pas pour les dev qui vont s'arracher les cheveux certes, mais pour le quidam qui lui est en attente d'un patch et pour l'opinion publique de manière générale ça l'est

qui plus est ce n'est pas la première fois que Microsoft se voit reprocher de mettre trop de temps à patcher des bugs de sécu, la difficulté est la même pour tout le monde, mais eux sont notoirement souvent plus lambins que les autres qui se donnent peut-être les moyens différemment

et puis on va pas dire qu'on est particulièrement étonnés non plus, Google et Microsoft sont concurrents sur à peu près tout, y compris les browsers, par le passé il est arrivé à Microsoft d'avoir une politique jugée très agressive vis à vis de ses concurrents, là c'est eux qui prennent les coups au lieu de les donner, bon... business is business.

[TiranusKBX]

@BufferBob
Tu veut que l'on compare avec Apple, Adobe et Oracle ?
Microsoft est bien plus rapide qu'eux pour les correctifs de sécurité et en plus leur base de code est bien plus étendue