Il fut un temps où Google, dans le cadre de son projet Zero, publiait des informations sur des failles critiques dans Windows parfois même avant qu’elle ne soient corrigées, ppiur peu qu’elles aient été signalées à Microsoft depuis plus de 90 jours. Cette fois cette Microsoft qui a publié un long billet technique, très intéressant, sur une vulnérabilité critique découverte dans ChromeOS.

La vulnérabilité critique (score 9.8/10) est estampillée CVE-2022-2587. Elle peut être utilisée pour mettre machine en déni de service, voire executer un code arbitaire à distance.

Le problème se situe dans l’utilisation de D-Bus, un outil de communication inter-processus utilisé dans Linux, et donc dans ChromiumOS et finalement dans Chrome OS. Une variable est copiée en mémoire avec la fonction C strcpy sans vérification de limites, ce qui aboutit donc à une corruption de la mémoire.

Nous pouvons lire dans le billet : Pour l'ingénieur en sécurité expérimenté,  [Comprendre : de chez Microsoft ;-) :-)] la mention de la fonction strcpy déclenche immédiatement des signaux d'alarme. La fonction strcpy est connue pour provoquer diverses vulnérabilités de corruption de mémoire car elle n'effectue aucune vérification des limites et est donc considérée comme non sûre. Comme il n'y a pas de vérification des limites sur l'argument d'identité fourni par l'utilisateur avant d'invoquer strcpy (en plus des limitations de longueur de message par défaut pour les messages D-Bus), nous étions convaincus que nous pouvions déclencher un dépassement de mémoire tampon basé sur le tas, déclenchant ainsi une vulnérabilité de corruption de mémoire.

Le billet explique ensuite comment les chercheurs en sécurité de Redmond sont parvenus à déclencher cette vulnérabilité de corruption mémoire.

Microsoft a signalé la vulnérabilité à Google qui a rapidement publié un correctif.