C’est une nouvelle humiliation pour Microsoft. En novembre dernier, les chercheurs en sécurité de Google Project Zero ont découvert une faille de sécurité dans le navigateur Edge qui permet à un attaquant de contourner les protections du compilateur Javascript et d’accéder à une zone mémoire pour y exécuter du code arbitraire. Une technique bien utile pour les pirates. Ce qui est embêtant, c’est que ces derniers peuvent dès à présent la mettre en pratique car les détails de cette faille viennent d’être publiés par Google. En effet, le géant du web donne systématiquement 90 jours aux éditeurs pour diffuser un correctif aux failles trouvées, mais le délai a été dépassé.

Pas de patch prévu pour le moment

Il y a quelques jours, Microsoft a alerté les chercheurs en sécurité sur le fait que le développement du patch était « plus complexe que prévu » et qu’il ne pourrait pas diffuser de correctif avant le 13 mars. Mais Google est resté inflexible. Par la suite, Microsoft a fait du rétropédalage et avoué qu’il ne pouvait pas, pour l’instant, s’engager sur une date pour le patch. Les utilisateurs de Edge se retrouvent donc avec un navigateur dotée d’une faille zero-day assez critique que les pirates vont pouvoir exploiter à cœur joie pendant au moins un mois.       

Ce n’est pas la première fois que Google met ainsi le pistolet sur la tempe de Microsoft. Il y a un an, ses chercheurs avaient également trouvé des failles dans Edge et dans Windows que l’éditeur n’a pas corrigées à temps et dont les détails ont donc été publiés. A l’époque, les dirigeants de Redmond avaient poussé une gueulante, car ils n’avaient pas du tout apprécié d’être mis devant le fait accompli. Cette fois-ci, pas de remarque particulière. Chez Microsoft, les failles zero-day sont devenues une routine.

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original