Publicité en cours de chargement...

Publicité en cours de chargement...

Chrome, Windows, iOS, sortez la boite de pansements !

18 nov. 2020 - 15:00,
Tribune - Charles Blanc-Rolin
Il est assez rare de voir autant de vulnérabilités zero day corrigées en aussi peu de temps. Google publie des correctifs de sécurité pour Chrome, autant qu’un curé pourrait en bénir, si bien qu’il devient de plus en plus rare qu’il passe plus d’une semaine entre deux patches…

Le 20 octobre, Google patchait notamment, la vulnérabilité CVE-2020-15999 activement exploitée, affectant la bibliothèque FreeType et permettant de réaliser une exécution de code arbitraire à distance [1]. Dans le correctif du 2 novembre, deux nouvelles vulnérabilités activement exploitées ont été corrigées, la CVE-2020-16009 affectant le composant V8, le moteur Javascript de Chrome / Chromium et permettant de réaliser une exécution de code arbitraire à distance, ainsi qu’une vulnérabilité propre à la version Android, permettant une évasion de sandbox, la CVE-2020-16010 [2].
Rebelote la semaine dernière donc, avec un nouveau patch publié le 11 pour deux nouvelles vulnérabilités activement exploitées et pour lesquels des POCs seraient déjà disponibles publiquement [3].

Et vous, votre éditeur de DPI vous impose d’utiliser Chrome avec combien de versions de retard ? Si certains éditeurs ont bien vendu leur produit il y a quelques années en vous disant que les applications Web c’était l’avenir, ne pouvant déjà pas suivre le rythme d’une mise à jour par mois chez Microsoft pour valider le bon fonctionnement de leur application, avec une mise à jour par semaine chez Google, ça devient impossible pour eux. Alors certains ont contourné le problème en compilant une version validée d’un navigateur Web et en recréant un « client lourd ». Loin d’être l’idéal ce qu’ils avaient vendu au départ, cette solution a au moins le mérite de ne pas imposer une stagnation dans une versions toute trouée du navigateur Web utilisé sur les postes du parc. Même si le danger est que le développement de l’application tombe vite dans l’obsolescence et que de problèmes d’incompatibilité avec un système d’exploitation maintenu surviennent dans un avenir plus ou moins proche, il est quand même rassurant de se dire que les utilisateurs ne surfent pas dans la mer agitée du Web avec des navigateurs en papier mâché. Même si au final, on ne peut plus vraiment parler d’une « application Web ».

Windows / Chrome, Mariage pas vraiment pour le meilleur...

La semaine dernière, a également été publié le « patch tuesday » de Microsoft. Parmi les vulnérabilités corrigées, on retrouve là aussi une zero day activement exploitée, la CVE-2020-17087 permettant une élévation de privilèges dans le noyau de Windows (toutes versions) [4]. Cette vulnérabilité a été découverte par l’équipe Project Zero de Google car utilisée en post exploitation avec la CVE-2020-15999 corrigée le 20 octobre dans Chrome. 

Le ver est aussi dans la pomme…

Si vous avez des terminaux mobiles Apple dans votre parc, là aussi, il faudra faire appel à Urgo pour protéger les bobos, car deux vulnérabilités permettant de réaliser une exécution de code arbitraire, les CVE-2020-27930 et CVE-2020-27932 et la vulnérabilité CVE-2020-27950 permettant de porter atteinte à la confidentialité des données ont été corrigées le 5 novembre dernier [5]. Ces trois vulnérabilités sont elles aussi activement exploitées.

Bonne séance de collage de pansements.

[1] https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

[2] https://twitter.com/benhawkes/status/1323374326150701057

https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop.html

[3] https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-23/

[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17087

[5] https://support.apple.com/en-us/HT211929

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.