Sécurité : Microsoft tacle Google

Par:
fredericmazue

ven, 20/10/2017 - 15:40

La vengeance est un plat qui se mange froid, c'est bien connu. Rappelez-vous, il y a plus de deux ans, Google dévoilait une faille zero day de Windows 8.1 dans le cadre de son Project Zero, ce qui avait fortement courroucé Microsoft.

La politique de Project Zero de Google est d'avertir l'éditeur de la présence d'une vulnérabilité dans l'un de ses logiciels et de publier la vulnérabilité 90 jours après, considéranr que ce délai ets suffisant pour mettre en place un correctif.

Mais dans le cas cité plus haut, Microsoft avait expliqué avoir besoin de plus de 90 jours pour combler la faille et avait demandé à Google de retarder sa publication. Ce qui a été refusé par un Google volontiers redresseur de torts en ce qui concerne les vulnérabilités des autres, mais pas toujours empressé à corriger les siennes.

Bref, les chercheurs en sécurité de Microsoft ont récemment découvert une vulnérabilité dans le navigateur Google Chrome. Une de ces vulnérabilités critiques qui permettent l'exécution de code à distance sur la machine attaquée et en l'occurrence donne à l'attaquant accès aux opérations en ligne de la victime : mails, documents et même sessions bancaires.

Un long billet de blog de Microsoft, très intéressant, donne les détails techniques de cette vulnérabilité.

Microsoft a signalé la vulnérabilité a Google qui a récompensé Redmond de 15 837 dollars dans le cadre de son programme de chasse aux bugs (bug bounty).

Microsoft salue la rapidité avec laquelle Google a corrigé la vulnérabilité : 4 jours. Mais quelle belle occasion de tacler Google en indiquant que le correctif a été publié sur GitHub avant que Chrome ne soit lui-même mis à jour :-) Autrement dit, pendant ce (court) laps de temps, tous les utilisateurs de Chrome étaient potentiellement vulnérables :-)

Les utilisateurs de Chrome et seulement eux, car pour l'occasion, Microsoft ne se prive pas d'enfoncer le clou en indiquant qu'une telle vulnérabilité n'aurait pas pu exister dans son navigateur Edge. C'est de bonne guerre :-)