Google n’octroie pas un délai supplémentaire à Microsoft pour corriger un bug

© -

Des chercheurs de Google ont découvert une brèche dans Edge. L’entreprise en a prévenu Microsoft, mais cette dernière n’est pas parvenue à la combler avant que Google n’en rende les détails publics.

Le problème se situe au niveau de l’Edge Browser dans Windows 10 et plus spécifiquement dans l’Arbitrary Code Guard (ACG), destiné à empêcher que du code JavaScript mal intentionné ne puisse être exécuté dans le compilateur JIT.

Google a découvert qu’il est possible de contourner l’ACG. Un pirate pourrait de ce fait prévoir quel espace de la mémoire est utilisée et quel autre espace pourrait recevoir du code en vue de faire exécuter des éléments Edge.

Google a suivi dans un premier temps les règles générales en vigueur: elle a averti Microsoft en novembre dernier en lui signalant que le bug serait rendu public au bout de 90 jours. L’entreprise y a même encore ajouté 14 jours. La semaine dernière, Microsoft a fait cependant savoir qu’il lui était plus malaisé que prévu de résoudre le problème. Il est probable que ce dernier ne sera corrigé qu’aux environs du 13 mars.

Comme la date-butoir est passée, Google a posté des explications techniques assez étoffées à propos du problème. Elle augmente ainsi le risque que des pirates tentent d’abuser de la faille dans l’attente d’une solution.

Google a respecté les accords en vigueur. 90 jours sont généralement considérés comme un délai correct. Mais ce n’est pas la première fois que l’entreprise prend Microsoft de vitesse en révélant des informations publiques sur un bug non résolu dans le délai imparti.

Par ailleurs, The Register signale aussi que Google se montre parfois plus patiente avec d’autres acteurs. C’est ainsi qu’en juin 2017 déjà, elle avait découvert les bugs Meltdown et Spectre touchant des puces, mais avait attendu jusqu’en janvier avant de faire part publiquement du problème. On peut donc se demander si Google ne suit que les dates-butoirs qu’elle impose elle-même, et veut ainsi contraindre Microsoft à réagir plus vite. Ou si elle utilise ledit bug pour mettre un concurrent en difficultés.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire