Publicité en cours de chargement...
Chrome, Windows, iOS, sortez la boite de pansements !
Le 20 octobre, Google patchait notamment, la vulnérabilité CVE-2020-15999 activement exploitée, affectant la bibliothèque FreeType et permettant de réaliser une exécution de code arbitraire à distance [1]. Dans le correctif du 2 novembre, deux nouvelles vulnérabilités activement exploitées ont été corrigées, la CVE-2020-16009 affectant le composant V8, le moteur Javascript de Chrome / Chromium et permettant de réaliser une exécution de code arbitraire à distance, ainsi qu’une vulnérabilité propre à la version Android, permettant une évasion de sandbox, la CVE-2020-16010 [2].
Rebelote la semaine dernière donc, avec un nouveau patch publié le 11 pour deux nouvelles vulnérabilités activement exploitées et pour lesquels des POCs seraient déjà disponibles publiquement [3].
Et vous, votre éditeur de DPI vous impose d’utiliser Chrome avec combien de versions de retard ? Si certains éditeurs ont bien vendu leur produit il y a quelques années en vous disant que les applications Web c’était l’avenir, ne pouvant déjà pas suivre le rythme d’une mise à jour par mois chez Microsoft pour valider le bon fonctionnement de leur application, avec une mise à jour par semaine chez Google, ça devient impossible pour eux. Alors certains ont contourné le problème en compilant une version validée d’un navigateur Web et en recréant un « client lourd ». Loin d’être l’idéal ce qu’ils avaient vendu au départ, cette solution a au moins le mérite de ne pas imposer une stagnation dans une versions toute trouée du navigateur Web utilisé sur les postes du parc. Même si le danger est que le développement de l’application tombe vite dans l’obsolescence et que de problèmes d’incompatibilité avec un système d’exploitation maintenu surviennent dans un avenir plus ou moins proche, il est quand même rassurant de se dire que les utilisateurs ne surfent pas dans la mer agitée du Web avec des navigateurs en papier mâché. Même si au final, on ne peut plus vraiment parler d’une « application Web ».
Windows / Chrome, Mariage pas vraiment pour le meilleur...
La semaine dernière, a également été publié le « patch tuesday » de Microsoft. Parmi les vulnérabilités corrigées, on retrouve là aussi une zero day activement exploitée, la CVE-2020-17087 permettant une élévation de privilèges dans le noyau de Windows (toutes versions) [4]. Cette vulnérabilité a été découverte par l’équipe Project Zero de Google car utilisée en post exploitation avec la CVE-2020-15999 corrigée le 20 octobre dans Chrome.
Le ver est aussi dans la pomme…
Si vous avez des terminaux mobiles Apple dans votre parc, là aussi, il faudra faire appel à Urgo pour protéger les bobos, car deux vulnérabilités permettant de réaliser une exécution de code arbitraire, les CVE-2020-27930 et CVE-2020-27932 et la vulnérabilité CVE-2020-27950 permettant de porter atteinte à la confidentialité des données ont été corrigées le 5 novembre dernier [5]. Ces trois vulnérabilités sont elles aussi activement exploitées.
Bonne séance de collage de pansements.
[1] https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html
[2] https://twitter.com/benhawkes/status/1323374326150701057
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop.html
[3] https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_11.html
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-23/
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17087
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...