Google a trouvé une faille dans un interpréteur Javascript fait maison qui s’exécutait avec les plus hauts privilèges sans vraiment avoir de protections. Un dispositif plutôt risqué pour un éditeur spécialisé en sécurité informatique.
Les cordonniers sont souvent les plus mal chaussés. C’est également vrai pour les éditeurs de logiciels de sécurité. Deux chercheurs en sécurité de Google Project Zero, Tavis Ormady et Natacha Silvanovich, ont récemment détecté une faille critique dans l’interpréteur Javascript du moteur antivirus d’Avast. Cette vulnérabilité, dont ils révèlent désormais tous les détails, était particulièrement nocive, car elle permettait d’exécuter du code à distance avec les plus hauts privilèges (System).
C’était d’autant plus risqué que l’éditeur n’a implémenté que peu de protections autour de son interpréteur fait maison. « Bien que [ce processus] soit hautement privilégié et qu’il traite par définition des entrées non fiables, il ne tourne pas dans un bac à sable et ne dispose que de peu de garde-fous. Toutes les vulnérabilités d’un tel processus sont hautement critiques, peuvent être transformées en ver et sont facilement accessibles aux attaquants distants », explique Tavis Ormandy dans une note de blog. Difficile de faire pire en la matière.
La bonne nouvelle, c’est que cette faille a été corrigée assez rapidement. Alerté le 3 mars, Avast a évacué le problème le 11 mars… en désactivant purement et simplement son interpréteur. Dans un tweet, l’éditeur a ajouté que cela n’impacterait pas le fonctionnement du produit qui dispose « de plusieurs couches de sécurité ». Certains twittos ont néanmoins estimé qu’une telle faille était la preuve « d’une incompétence crasse en matière d’architecture de sécurité ». Ouch !
source : 01net