C’est reparti. Google a un projet de sécurité pour trouver les vulnérabilités des logiciels et avertir les responsables. Si un patch n’est pas publié dans les 90 jours, la faille est rendue publique. Et une fois de plus, Microsoft a dépassé les délais.
Comme l’explique M. Neowin, le navigateur Edge présente une faille de sécurité de niveau “moyen” dans une fonction conçue pour atténuer l’exécution de code arbitraire.
Il s’agit de l’ACG (Arbitrary Code Guard), disponible sur Windows 10 Creators Update. Fondamentalement, Edge dispose d’un processus distinct pour compiler le JavaScript en code natif et réserver de l’espace mémoire.
Le processus se déroule de manière isolée dans un bac à sable, mais selon Google, il est possible de briser cette protection et d’injecter du code exécutable – et potentiellement malveillant – dans la mémoire.
Google a donné l’avertissement à Microsoft en novembre 2017. La société a déclaré qu’elle ne serait pas en mesure de résoudre la défaillance en 90 jours parce qu’elle était plus complexe que prévu, de sorte que le délai a été prolongé de 14 jours supplémentaires, comme il est d’usage.
Pourtant, Microsoft a dépassé les délais, et Google a révélé la faille. Elle dit que le patch ne sera pas disponible avant le 13 mars avec Patch Tuesday.
L’initiative de Google, appelée Projet Zéro, a révélé publiquement deux graves défauts de Windows en 2015, et un autre l’année dernière. Cela a mis Microsoft en colère : elle estime que le délai de 90 jours est peut-être trop court dans certains cas.
En septembre, Microsoft a découvert un bogue dans Chrome qui lui permettait d’exécuter du code à distance. Il a été corrigé en quelques jours dans la chaîne bêta, mais est resté dans la version stable “pendant près d’un mois”. L’entreprise n’a donc rendu le correctif public qu’en octobre, après que celui-ci ait été communiqué à tous.
