Suite à un échec assez médiatisé du navigateur Edge de Windows 10 chez Pwn2Own, dont nous avons parlé plus tôt cette semaine, Microsoft est revenu sur sa lancée en discutant du renforcement de la sécurité du sandbox du navigateur..

De nouveaux changements arrivent avec la mise à jour de Creators pour Windows 10, qui renforcera considérablement la puissance dudit bac à sable lorsque la mise à niveau arrivera le mois prochain..

Pour les non-initiés, un bac à sable consiste simplement à exécuter quelque chose d'isolé du reste du système - dans sa propre "boîte" autonome - dans le but de garantir qu'une attaque sur ce logiciel ne puisse plus être exploitée pour atteindre le PC de l'utilisateur en général.

Alors, que fait Microsoft pour assurer une meilleure sécurité? Tout d’abord, l’équipe Edge a réduit la «surface d’attaque» du sandbox du navigateur, minimisant ainsi la quantité de code disponible pour un attaquant qui tente de l’exploiter et ajustant le sandbox d’Edge de manière à “ajustement beaucoup plus étroit aux besoins fonctionnels du logiciel”.

Microsoft explique dans un article de blog: “C’est beaucoup de travail, c’est pourquoi ce n’est pas ainsi que fonctionne la plate-forme universelle Windows UWP. Mais comme les navigateurs Web comptent parmi les logiciels les plus menacés, cela en vaut la peine..”

La société a également précisé que le conteneur d'applications Flash du navigateur avait subi un processus similaire d'ajustement manuel afin de le resserrer, car, comme vous le savez probablement, Flash est un vecteur d'attaque souvent utilisé..

  • Ce sont les meilleures souris de jeu que vous pouvez acheter en 2017

Aller pour les courtiers

Microsoft a également évoqué l'amélioration des contre-mesures concernant les "courtiers" d'Edge, un code permettant d'accéder à des ressources sur le PC lorsque cela est nécessaire (par exemple, accorder l'accès à un fichier spécifique sur l'ordinateur, et uniquement à ce fichier, si vous le téléchargez via le navigateur. ).

Le piratage d'un courtier est une méthode potentielle pour pouvoir s'échapper du bac à sable, et la firme a indiqué que le resserrement susmentionné du bac à sable interdisait l'accès à de nombreux courtiers, ce qui laissait moins de possibilités d'exploiter - et, en outre, un certain nombre de nouvelles technologies d'atténuation des exploitations. ont été appliqués à ces courtiers.

Le résultat net est que sortir du sandbox en exploitant une interface de courtier est une perspective beaucoup moins probable.

Avec toutes ces mesures et quelques ajustements supplémentaires, Microsoft affirme que le bac à sable plus étroit d’Edge a une surface d’attaque réduite de manière «significative»..

Le géant du logiciel a déclaré: “Bien que la réduction de la surface d'attaque ne garantisse pas qu'un attaquant ne puisse pas s'échapper du bac à sable, elle réduit considérablement les possibilités d'attaque, un peu comme réduire le nombre de fenêtres et de portes dans une forteresse..”

Comme nous l’avons déjà mentionné, Microsoft Edge s’est révélé être le navigateur le moins sécurisé, exploité cinq fois - bien loin de la première place de Chrome, ce qui a permis à Chrome de ne pas se laisser surprendre par le piratage de Pwn2Own..

C’est probablement pour cette raison que Microsoft tient à parler de sécurité à l’heure actuelle, et c’est quelque chose que la société n’a jamais hésité à faire avec Edge..

Via: sur MSFT

  • Ce sont les meilleurs ordinateurs portables pour les étudiants à utiliser