Google s’est apparemment fait un sport de signaler les problèmes de sécurité avec Windows car il prétend protéger ses utilisateurs de Chrome sur la plate-forme, mais un nouveau bogue trouvé par Microsoft a rendu la responsabilité à Google de corriger ChromeOS.
Après des années d’agitation proverbiale des doigts de la part des ingénieurs de la prime de bogue « Project Zero » de Google qui ont trouvé des problèmes légitimes avec Windows, Microsoft riposte avec sa propre trouvaille avec la plate-forme abusant de strcpy().
Selon le Journal des bogues de chromeSécurité : ChromeOS cras D-Bus SetPlayerIdentity provoque une corruption de la mémoire suffisamment grave pour que l’équipe de recherche 365 Defender de Microsoft et Google prennent des mesures.
Après avoir localisé un problème de corruption de la mémoire locale, nous avons découvert que la vulnérabilité pouvait être déclenchée à distance en manipulant des métadonnées audio. Les attaquants auraient pu inciter les utilisateurs à remplir ces conditions, par exemple en jouant simplement une nouvelle chanson dans un navigateur ou à partir d’un appareil Bluetooth couplé, ou en tirant parti des capacités de l’adversaire au milieu (AiTM) pour exploiter la vulnérabilité à distance.
Dans un sens plus techniqueà partir de la ligne de commande, un dépassement de mémoire tampon basé sur le tas pourrait être déclenché en transmettant une chaîne de 128 octets à l’utilitaire dbus-send, le résultat final pourrait être un simple déni de service ou une exécution de code à distance complète.
Après avoir découvert le bug Microsoft l’a marqué avec CVE-2022-2587 et avec un score CVSS (Common Vulnerability Scoring System) de 9,8 sur 10 en ce qui concerne l’efficacité critique.
Heureusement, tout cela a été fait en avril 2022 et a depuis été corrigé par Google et son équipe ChromeOS. En une semaine environ, « le code a été validé et, après plusieurs fusions, mis à la disposition des utilisateurs. Nous remercions l’équipe Google et la communauté Chromium pour leurs efforts pour résoudre le problème », Jonathan Bar Or de l’équipe de recherche Microsoft 365 Defender. signalé.
Bien qu’ils soient des rivaux commerciaux acharnés, Google et Microsoft s’appuient l’un sur l’autre pour fournir à leurs clients des logiciels et des solutions de sécurité, Google ayant besoin de Windows sécurisé pour les utilisateurs du navigateur Chrome et maintenant Microsoft a besoin de l’aide de Google pour protéger le projet Chromium des menaces, car il est devenu le référence pour son navigateur Edge réinventé.
