IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Chrome: Google comble une faille sous Windows et avertit de la présence d'une seconde, Réactions à la publication du 08/03/2019
Options
Lionel
posté 8 Mar 2019, 07:27
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 52 828
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Google a annoncé avoir comblé une faille déjà exploitée sur Chrome dans sa version sous Windows. Quand elle était exploitée conjointement avec une autre faille présente sous Windows dans ses versions 32 bits, elle permettait une escalade des privilèges et donc une prise de contrôle à distance de la machine.
La faille sous Windows n'est toujours pas comblée et Google conseille de passer sous Windows 10, sur lequel son exploitation serait bien moins aisée à être mise en œuvre.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
iAPX
posté 8 Mar 2019, 13:58
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 10 664
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



C'est une faille présente sous Windows 7 32-bit uniquement et exploitée activement de manière ciblée (banques peut-être!) : ça ne touche qu'une très faible minorité des installations actuelles de Windows, soit avec des matériels très anciens qui auront de toute façon beaucoup de mal avec la goinfrerie de Chrome (la RAM accessible est limitée à 3Go au mieux, ça peut descendre à 2Go avec une GPU qui a beaucoup de RAM), soit pour supporter d'anciennes cartes d'extensions (PCI par exemple), périphériques sans drivers 64-bit ou pour Windows 10 32-bit, soit pour faire tourner d'anciens logiciels (mais ça peut se régler par l'usage d'une VM sur un ordinateur moderne).

Le problème n'existe pas en 64-bit car dans ce cas la page 0 (premières adresses) n'est pas mappable par les process et le déréférencement de ptr (ptr -> 0) créé par cette faille ne peut qu'amener un process ou au pire le système à crasher, et non à une escalade de droits. La faille est comblée indirectement par d'autres mécanismes d'atténuation des risques sous Windows 10 32-bit.

Si vous utilisez Windows 7 32-bit, il y a plusieurs solutions suivant les cas:
  • Si ni logiciels, ni drivers ou périphériques ne posent problèmes, upgradez à Windows 10 32-bit voir 64-bit
  • Pour de vieux logiciels, un PC moderne pourra les faire tourner plus rapidement dans une VM (virtualBox est gratuit)
  • Vous êtes obligé de rester sous Windows 7 32-bit: patchez dès que c'est dispo, et éviter d'utiliser Internet voir de connecter votre PC en réseau si possible
  • Le problème est une question de budget et vous avez un usage limité: passez à Linux, c'est gratuit et bien maintenu smile.gif

Google a quand-même merdé grave en décrivant les mécanismes de la faille, ce qui va permettre à des groupes organisés de reproduire l'attaque et donc va mettre bien plus en danger les utilisateurs de ces machines.

Ce message a été modifié par iAPX - 8 Mar 2019, 14:07.


--------------------
Apple fanboy, un des rares ici à défendre immanquablement l'immaculée (pas le prononcer "y m'a 'culé" svp!) vertu de cette société qui est le dernier rempart de la civilisation contre la barbarie, grâce au Précieux!
Go to the top of the page
 
+Quote Post
marc_os
posté 8 Mar 2019, 14:25
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 214
Inscrit : 21 Apr 2006
Membre no 59 799



Ah que c'est beau Windows !
Associé à Chrome, le must.


--------------------
-----------------
--JE-------SUIS--
--AHMED-CHARLIE--
--CLARISSA-YOAV--
-----------------
Go to the top of the page
 
+Quote Post
iAPX
posté 8 Mar 2019, 16:03
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 10 664
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (marc_os @ 8 Mar 2019, 09:25) *
Ah que c'est beau Windows !
Associé à Chrome, le must.

Il y a une faille 0-day dans macOS, signalé il y a plus de 90 jours par la même équipe Project Zero à Apple et toujours pas patché après 90jours dans la dernière version de macOS, sans parler des précédentes.

Je ne pense pas que ça soit à l'honneur d'Apple de n'avoir rien fait en un trimestre...


--------------------
Apple fanboy, un des rares ici à défendre immanquablement l'immaculée (pas le prononcer "y m'a 'culé" svp!) vertu de cette société qui est le dernier rempart de la civilisation contre la barbarie, grâce au Précieux!
Go to the top of the page
 
+Quote Post
SartMatt
posté 8 Mar 2019, 17:59
Message #5


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 30 543
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (marc_os @ 8 Mar 2019, 14:25) *
Ah que c'est beau Windows !
Associé à Chrome, le must.
C'est vrai que le couple macOS/Safari est lui totalement exempte de failles rolleyes.gif

Sans doute autant que le couple macOS/Libre Office laugh.gif


--------------------
Go to the top of the page
 
+Quote Post
Pixelux
posté 8 Mar 2019, 22:54
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 604
Inscrit : 18 Dec 2003
Lieu : Montréal
Membre no 12 595



Je suis porté à croire que Google a grand intérêt à ce que le Web soit en santé et sécuritaire. Et cela fait en sorte que sur bien des points Google va ressembler au Apple des meilleurs années et ce sans la frime...

On n'a vraiment intérêt a suivre de près cette firme.

Ce message a été modifié par Pixelux - 8 Mar 2019, 22:55.


--------------------
Go to the top of the page
 
+Quote Post
_Panta
posté 9 Mar 2019, 08:57
Message #7


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 332
Inscrit : 24 Dec 2006
Lieu : "Over The Rainbow"
Membre no 76 401



Citation (iAPX @ 8 Mar 2019, 16:03) *
Citation (marc_os @ 8 Mar 2019, 09:25) *
Ah que c'est beau Windows !
Associé à Chrome, le must.

Il y a une faille 0-day dans macOS, signalé il y a plus de 90 jours par la même équipe Project Zero à Apple et toujours pas patché après 90jours dans la dernière version de macOS, sans parler des précédentes.

Je ne pense pas que ça soit à l'honneur d'Apple de n'avoir rien fait en un trimestre...

Over the past two years, the security community has dug up flaws in Apple's code that allowed anyone to escalate their privileges on a Mac simply by typing "root," another that displayed a user's hard disk encryption password where the password hint was supposed to be, and most recently a bug that allowed FaceTime callers to listen through the microphones of devices they called before the call's recipient picked up.

"They've had a lot of very-high-profile security-related bugs and some have been really, really stupid," Reed says. "It makes you wonder what’s going on with the QA process at Apple. Are they adequately testing? Lately, it seems like they’re not."


--------------------
- Macbook Pro TouchBar 15" T1 - 512GB/core i7@2,7Ghz
- Macbook Air 13,3" core i5 - iMac 27" core i5 - iPhone7@128GB
- Airport Extrême
- Fbx Delta Devialet
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 20th March 2019 - 06:42