Microsoft Edge et Windows 10, Google dévoile une faille non corrigée par Microsoft

Dans le cadre de son « Project Zero », Google révèle au grand jour une faille de sécurité touchant le Navigateur Microsoft Edge. La firme avait pourtant 90 jours pour trouver une solution. Cette vulnérabilité expose les utilisateurs du système d’exploitation Windows 10.

Selon Ivan Fratric chercheur en sécurité chez Google, son exploitation permet de contourner l’ACG. Le pirate peut alors compromettre un PC sous Windows 10. L’ACG est la contraction de Arbitrary Code Guard implanté l’année dernière. Cette technologie à vue le jour à l’occasion de la sortie de Windows 10 v1703 alias Creators Update.  Son objectif est de bloquer les tentatives d’exécution de codes malveillants au travers de JavaScript.

La faille en question donne la possibilité d’exécuter ce type de manœuvre au travers d’un sites Web compromis, ce qui expose naturellement les utilisateurs du navigateur.

Microsoft Edge, la période de 90 jours n’est pas suffisante

Ivan Fratric explique que Microsoft a été informé de la situation en novembre 2017. Bien qu’une période de 90 jours a été accordée avant une publication public, Microsoft a déclaré qu’il lui fallait plus de temps afin de trouver une parade. Normalement elle sera proposée lors du prochain Patch Tuesday prévu le 13 mars prochain. A ce sujet Microsoft explique

« La solution est plus complexe. Il est très probable que nous ne serons pas en mesure de respecter la date limite de publication […] L’équipe est convaincue qu’un patch sera prêt à être proposé le 13 mars »

En attendant, il n’y a pas de solution particulière pour se protéger. Il faut seulement éviter de visiter des sites Web douteux et inconnus avec ce navigateur.