Un peu plus d'une semaine après avoir divulgué une vulnérabilité de sécurité sans correctif affectant Windows et due à un problème au niveau du composant graphique gdi32.dll (Graphics Device Interface), Project Zero de Google fait de même avec une autre faille 0-day mise au jour dans des produits Microsoft.

Microsoft-Google Avec le code CVE-2017-0037 qui lui a été assigné, cette nouvelle vulnérabilité sans patch affecte les navigateurs Microsoft Edge et Internet Explorer. Sans être critique, son niveau de dangerosité est jugé supérieur à la faille qui concerne gdi32.dll.

Ladite vulnérabilité est une confusion de type, soit lorsque du code ne vérifie pas le type d'un objet qui lui est passé et l'utilise à l'aveuglette. Ici, il est question d'une confusion de type dans la fonction HTML :

HandleColumnBreakOnColumnSpanningElement()

Un attaquant distant peut créer du contenu dont le chargement peut mener à une exécution de code arbitraire sur le système pris pour cible. Pas d'exploit disponible mais une preuve de concept fournie par Project Zero qui pourra servir à cet effet. Cette PoC a été vérifiée avec la version 64 bits de IE sur Windows Server 2012 R2. Néanmoins, la version 32 bits de IE11, ainsi que Microsoft Edge sont aussi affectés.

Tous les utilisateurs de Windows sont donc concernés. La vulnérabilité a été rapportée à Microsoft le 25 novembre 2016. Elle a été divulguée publiquement le 23 février 2017, soit en respectant un délai de 90 jours, indépendamment du fait qu'il n'y a pas de correctif disponible.

Actuellement, il existe donc trois vulnérabilités 0-day dans des produits Microsoft. Les deux divulguées publiquement par Google et une autre affectant le traitement du trafic SMB dans Windows. Tout ceci dans un contexte où le Patch Tuesday de février a été reporté au mois de mars. Rappelons par contre que Microsoft a publié en urgence une mise à jour des bibliothèques logicielles Adobe Flash contenues dans ses navigateurs.

Gageons que si des exploits - et pas seulement des PoC - font surface, il y aura d'autres publications en urgence. Microsoft ne doit en tout cas certainement pas apprécier la pression mise par Google via Project Zero. C'est aussi un risque accru pour les utilisateurs.