Le Patch Tuesday de novembre de Microsoft permet la correction de la 0day récemment divulguée par Project Zero de Google. Dans le même temps, de nouvelles 0day sont corrigées pour Chrome.
Microsoft publie un correctif pour la vulnérabilité de sécurité identifiée en tant que CVE-2020-17087. Alors qu'un patch n'était pas disponible, cette vulnérabilité a fait l'objet d'une exploitation active dans des attaques ciblant des utilisateurs de Windows 7 et Windows 10.
La vulnérabilité permet une élévation de privilèges. Elle avait été rendue publique par l'équipe Project Zero de Google à la fin du mois dernier, dans le cadre de sa politique de divulgation après découverte et pour cause d'exploitation active.
Microsoft avait été informé en amont de ce bug de sécurité. Il est en rapport avec l'utilisation par Windows de fonctions cryptographiques (Kernel Cryptography Driver ; cng.sys). Son association avec une vulnérabilité touchant Google Chrome permettait une exécution de code malveillant dans le navigateur et un échappement de sandbox.
Pour la vulnérabilité en lien avec Google Chrome, elle était de type dépassement de tampon et en lien avec la bibliothèque logicielle FreeType pour les polices de caractères.
Dans le cadre du copieux Patch Tuesday mensuel
La correction de Microsoft intervient à l'occasion de son rendez-vous de chaque deuxième mardi du mois. Cet Update Tuesday - ou officieusement Patch Tuesday - pour le mois de novembre permet de corriger un total de 112 vulnérabilités de sécurité pour divers produits du groupe.
À noter que la vulnérabilité CVE-2020-17087 à elle seule n'est pas jugée critique par Microsoft. Parmi les nombreuses corrections de sécurité, c'est en tout cas la seule à faire l'objet d'une exploitation dans des attaques et d'une divulgation publique.
It's the 2nd Tuesday of the month, which means the latest security patches from #Microsoft and #Adobe are here. Join @dustin_childs as he breaks down the release and covers some major documentation changes from Microsoft. https://t.co/6kEbVlVp7E
De son côté, Google propose une mise à jour de Google Chrome sur ordinateur pour la correction de deux vulnérabilités… 0day. Une fait référence à une implémentation inappropriée dans V8 qui est le moteur JavaScript open source développé par le projet Chromium, et l'autre à l'isolation des sites.
Avec des exploits dans la nature, ces deux vulnérabilités pour Chrome ont été rapportées par des sources anonymes. Il n'est pas précisé si elles sont utilisées ensemble pour une exploitation. Depuis fin octobre, Google a désormais corrigé quatre 0day pour Chrome sur ordinateur, sans compter une 0day pour Chrome sur Android.
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Signaler un problème avec ce contenu
Commentaires
Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
