Les chercheurs en sécurité de Google ont révélé une faille de sécurité dans Microsoft Edge, rendant le problème public avant la publication d’un correctif pour le navigateur. Le problème dans le navigateur de Windows 10 a été identifié par l’équipe Project Zero de Google, un groupe de chercheurs et d’analystes qui, depuis mi-2014, a été chargé de chercher les failles et les vulnérabilités.
Et, le 17 novembre 2017, l’équipe de Project Zero a repéré un potentiel problème dans Edge, le navigateur de Windows 10. Ce problème est basé sur l’implémentation par Microsoft d’un Arbitrary Code Guard, ou ACG, dans le navigateur, en utilisant un processus séparé pour la compilation JIT ou Just In Time.
Dans ce cadre, les chercheurs de Google ont compris qu’ils pouvaient utiliser un contenu compromis pour prédire où le processus JIT allait être appelé dans la mémoire partagée. En sachant cela, ils pourraient y déposer une portion de code exécutable, attendant que le JAT l’appelle. Un tel procédé pourrait être utilisé pour créer une page exécutable avec le contenu d’un contrôle tiers, contournant ainsi l’ACG de Microsoft dans le processus.
Une faille aux yeux de tous
Sans surprise, ce n’est pas quelque chose que vous voulez faire dans un navigateur, et l’équipe de Project Zero a informé Microsoft du potentiel exploit. « Après 90 jours ou un patch a été rendu largement disponible », souligne l’équipe de sécurité de Google, « le rapport de bug sera visible par le public ». Cette période de 90 jours a expiré le 15 février. À l’époque, Microsoft a déclaré à l’équipe Project Zero que même s’il avait espéré avoir une solution pour l’exploit dans Edge, il s’est avéré plus délicat que prévu.
Il convient de noter qu’il n’y a pas de cas d’exploitation signalés actuellement. Pourtant, le faire réparer se révèle être un processus plus long que quiconque aurait pu le deviner. Selon une mise à jour effectuée par Google plus tôt dans la journée, Microsoft affirme maintenant « qu’en raison de la complexité du correctif, ils n’ont pas encore fixé de date fixe pour le moment ».