Chaque mois, les grandes entreprises publient souvent des mises à jour pour améliorer encore le fonctionnement des appareils. Mais ils en profitent également pour résoudre tous les problèmes de sécurité qui ont été détectés en cours de route, afin de garder les utilisateurs protégés à tout moment. Il y a quelques années, Google a créé Project Zero, une équipe de recherche dédiée à détecter les failles de sécurité dans les applications et les systèmes d'exploitation. Ces pannes sont rapidement communiquées au fabricant en question, lui donnant une marge de 90 jours pour y remédier avant de le rendre officiel, une position qui met en danger les utilisateurs, puisque des amis de l'extérieur peuvent en profiter pour obtenir des informations sur les utilisateurs.
En laissant de côté la politique de Google, ces deux vulnérabilités sont zéro jour, c'est-à-dire qu'elles sont des vulnérabilités qui Ils sont là depuis la création de l'application et n'ont pas été détectés par le développeur lorsque je crée l'application ou le système d'exploitation, les applications ou les systèmes affectés ont été et continuent d'être susceptibles d'être attaqués jusqu'à ce que le problème soit résolu.
Selon Project Zero, cette vulnérabilité est très facile à exploiter, car elle ne nécessite que 17 lignes de code HTML en les concentrant sur les variables rcx et rax, ce qui permettrait à des amis de l'extérieur de contrôler notre navigateur et ainsi de pouvoir accéder aux noms d'utilisateurs et aux mots de passe que nous avons enregistrés dans Internet Explorer ou Microsoft Edge.
Cette fois, les navigateurs concernés ont été Internet Explorer et Microsoft Edge. Comme je l'ai mentionné au début de cet article, Project Zero a été contraint d'informer les utilisateurs de cette vulnérabilité depuis que les 90 jours réglementaires qu'il a proposés à Microsoft pour résoudre ce problème sont passés. Comme indiqué par MSPowerUser, le meilleur moyen d'éviter de subir un type d'attaque contrôlé par notre navigateur, consiste à exécuter les navigateurs comme si nous étions un utilisateur invité, c'est-à-dire sans privilèges d'aucune sorte.