Navigateur Microsoft Edge, 18 secondes pour exploiter une faille

Microsoft Edge est le nouveau navigateur vedette du géant du logiciel. Successeur d’Internet Explorer, il vise à concurrencer Firefox de Mozilla ou Chrome de Google. La firme a salué à plusieurs reprises sa conception permettant d’offrir à l’utilisateur un haut niveau de sécurité. Est-ce le cas ?

Malheureusement une démonstration lors de l’évènement “PwnFest” prouve qu’il y a encore du travail à accomplir. A deux reprises, une tentative de piratage a abouti. L’une d’entre elles s’est faite en 18 secondes seulement.

Microsoft Edge, il existe des failles non corrigées.

L’équipe du cabinent en sécurité Qihoo 360 a réussi à prendre le contrôle sur Microsoft Edge sans aucune interaction de l’utilisateur. L’exploit, signé par le talentueux « pirate » sud-coréen Lokihardt, s’est déroulé en 18 secondes seulement.

Cette performance a été soulignée par une récompense de 140 000 dollars. Depuis, les détails ont été soumis à Microsoft afin que des patchs soient développés.

Selon ce même rapport, une autre équipe de Qihoo 360 a réussi cette fois à pirater VMware Workstation 12.5.1 avec à la clé une belle récompense de 150000 $.

Il est fait mention que Microsoft a déjà corrigé quelques failles de sécurité. Il en sera de même concernant les nouvelles. En attendant, il est dit que les utilisateurs de Microsoft Edge peuvent être confiant sachant que les détails de ces attaques sont restées privées. En clair, ces failles ne seraient pas connues.

Le patch Tuesday du mois de novembre 2016 a introduit plusieurs mises à jour de sécurité dont MS16-129, présenté dans cette actualité. Il s’agit ici d’une mise à jour de sécurité cumulative spécialement développée pour le navigateur Microsoft Edge.