5, Rue de Gutenberg - 15000 Aurillac

11, Avenue de Fondeyre - 31200 Toulouse

n'hésitez-plus

CARRY WEB est à votre écoute !

actualités

 

Retrouvez régulièrement des extraits de l'actualité du numérique selon plusieurs catégories de contenus. 

Réseaux sociaux
Liens utiles

 

Accueil > Actualités

"Le multimédia à portée de tous"

SUPPORT

11, Avenue de Fondeyre -
31200 Toulouse

5, Rue de Gutenberg -

15000 Aurillac

Rechercher un article

Google : la moitié des failles de type zero day sont liées à de mauvais correctifs

04/07/2022

Google : la moitié des failles de type zero day sont liées à de mauvais correctifs

Les éditeurs de logiciels doivent mieux analyser les causes profondes des bugs de sécurité qu'ils corrigent.

La moitié des 18 failles de type "zero day" qui ont été exploitées cette année auraient pu être évitées, si les principaux fournisseurs de logiciels avaient créé des correctifs plus complets et effectué davantage de tests.

 

C'est le verdict des chercheurs de l'équipe Google Project Zero, qui a recensé jusqu'à présent 18 failles "zero day" en 2022. Ces dernières affectent Windows (Microsoft), iOS et WebKit (Apple), Chromium et Pixel (Google), et le serveur Confluence (Atlassian).


C'est dans les vieilles failles qu'on fait les meilleurs exploits


Google Project Zero ne recueille des données que sur les failles de type "zero day" – des bugs exploités par des attaquants avant qu'un correctif ne soit disponible – dans les principaux logiciels, de sorte que le nombre annoncé n'englobe pas toutes les failles 0day découvertes dans les logiciels.

 

En outre, selon l'équipe de Google, il n'y a eu que quatre failles zero day vraiment uniques cette année, car les attaquants se contentent de modifier leurs exploits pour contourner les correctifs partiels.

 

« Au moins la moitié des failles zero day que nous avons observées au cours des six premiers mois de 2022 auraient pu être évitées grâce à des correctifs et des tests de régression plus complets. En outre, quatre des failles zero day de 2022 sont des variantes de failles zero day de 2021. 12 mois à peine après la correction de la première 0day, les attaquants sont revenus avec une variante du bug original », écrit Maddie Stone, membre du groupe Project Zero, dans un billet de blog.

 

Elle ajoute qu'au moins la moitié des failles zero day « sont étroitement liés à des bugs que nous avons déjà vus ».


De plus en plus de zero day


Ce manque d'originalité va dans le sens d'une tendance que Maddie Stone et d'autres chercheurs de Google ont récemment mise en évidence.

 

Plus de failles zero day ont été trouvées en 2021 qu'au cours des cinq dernières années où Google Project Zero les a comptabilisés.

 

Plusieurs facteurs sont potentiellement en jeu. Tout d'abord, les chercheurs pourraient être plus à même de détecter leur exploitation par des attaquants qu'auparavant. D'autre part, le code source des navigateurs est devenu aussi complexe que les systèmes d'exploitation. De plus, les navigateurs sont devenus une cible directe, suite à la disparition de plug-in de navigateur comme Flash Player.


Les pratiques de l'industrie à revoir


Mais si la détection, la divulgation et l'application de correctifs s'améliorent dans l'ensemble de l'industrie, « nous ne rendons pas les 0day difficiles (à créer) », souligne Maddie Stone. Elle souhaite que l'industrie élimine des classes entières de failles de sécurité.

 

Par exemple, 67 % des 58 failles zero day étaient des vulnérabilités de corruption de mémoire.

 

L'équipe chargée de la sécurité de Chrome travaille à des solutions pour les failles de mémoire découlant de l'énorme base de code du navigateur écrit en C++, mais les mesures d'atténuation ont un coût en termes de performances. Chrome ne peut pratiquement pas être réécrit en Rust, qui offre de meilleures garanties de sécurité mémoire que le C et le C++.


Correctifs partiels


Maddie Stone souligne également que l'équipe Windows de Microsoft et l'équipe Chrome de Google ont fourni des correctifs partiels.

 

« Bon nombre des failles zero day de 2022 sont dues au fait que la vulnérabilité précédente n'a pas été entièrement corrigée. Dans le cas des bugs Windows win32k et Chromium property access interceptor, le flux d'exécution que les exploits visaient ont été corrigés, mais la cause première n'a pas été traitée : les attaquants ont pu revenir et déclencher la vulnérabilité originale par un chemin différent », raconte-t-elle.

 

« Dans le cas de WebKit et de Windows PetitPotam, la vulnérabilité originale avait déjà été corrigée, mais à un moment donné, elle a régressé de sorte que les attaquants ont pu exploiter à nouveau la même vulnérabilité. »


Les failles exploitées cette année


Voici la liste des failles zero day exploitées en 2022 que Google Project Zero a suivies jusqu'au 15 juin :

  • Windows win32k : CVE-2022-21882, variante de la faille CVE-2021-1732 (2021) ;
  • iOS IOMobileFrameBuffer : CVE-2022-22587, variante de la faille CVE-2021-30983 (2021) ;
  • Windows : CVE-2022-30190 ("Follina"), variante de la faille CVE-2021-40444 (2021) ;
  • Chromium property access interceptors : CVE-2022-1096, variante des failles CVE-2016-5128, CVE-2021-30551 (2021) et CVE-2022-1232 ;
  • Chromium v8 : CVE-2022-1364, variante de la faille CVE-2021-21195 ;
  • WebKit : CVE-2022-22620 ("Zombie"), corrigée à l'origine en 2013, mais rétablie en 2016 ;
  • Google Pixel : CVE-2021-39793 (la CVE indique 2021, mais la faille a été divulguée et corrigée en 2022), variante d'une faille Linux similaire, dans un sous-système différent ;
  • Atlassian Confluence : CVE-2022-26134, variante de la CVE-2021-26084 ;
  • Windows : CVE-2022-26925 ("PetitPotam"), variante de la CVE-2021-36942 (patch régressé).

services

réseaux sociaux