IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google divulgue une autre faille non corrigée de Windows

Le , par Hinault Romaric

26PARTAGES

4  0 
Google récidive. Le géant de la recherche a décidé de publier les détails sur une nouvelle faille zero-day dans Windows, alors que Microsoft n’a pas encore mis à la disposition des utilisateurs un correctif de sécurité.

La faille qui touche Windows 8.1 et Windows 7 (32 et 64 bits), se situe au niveau de la fonction de chiffrement CryptProtectMemory. En cas d’exploit, cette vulnérabilité pourrait entrainer une usurpation d’identité.

La faille avait été découverte par l’ingénieur de Google du nom de Forshaw, à l’origine da la divulgation de la précédente faille dans Windows 8.1. Elle a été enregistrée le 17 octobre sur le programme « Google Project Zero ». Une notification avait été envoyée à Microsoft et compte tenu du fait que le délai de 90 jours accordé ait été atteint, la faille a été divulguée publiquement.

Les experts en sécurité de Microsoft ont répertorié la faille le 29 octobre dernier. Un correctif avait été développé et devait être inclus dans le Patch Tuesday de janvier. Cependant, suite à des problèmes de compatibilité, Microsoft n’a pas été en mesure de publier un correctif à temps.

« Microsoft nous a informé qu’un correctif était prévu pour les patchs de janvier. Mais, il a été retiré en raison des problèmes de compatibilité. Par conséquent, le correctif est maintenant prévu dans les patchs de février », a écrit Forshaw, dans une mise à jour sur le dossier de la faille sur « Project Zero ».

Tout comme la dernière fois, Google a opté pour une publication de la faille, qui est accompagnée d’une preuve de faisabilité. Le but premier de ce geste étant de mettre la pression à l’éditeur afin qu’il publie un correctif pour sécuriser les utilisateurs, cela a aussi pour effet d’augmenter le risque d’exploitation de la vulnérabilité par les pirates.

Microsoft avait déjà critiqué cette façon de procéder chez Google, qui expose encore plus les utilisateurs. « Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », expliquait Chris Betz, responsable de la sécurité chez Microsoft, dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »

Pour Microsoft, il est préférable de travailler de façon concertée et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.

Source : Google Project Zero

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 16/01/2015 à 12:38
Citation Envoyé par Hinault Romaric Voir le message
...Pour Microsoft, il est préférable de travailler de façon concerter et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.
Attendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?

Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).

Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.
9  4 
Avatar de Zirak
Inactif https://www.developpez.com
Le 19/01/2015 à 11:00
Je ne sais même pas pourquoi vous vous acharnez à répondre à l'autre troll qui transpire la mauvaise foi par tous les pores de sa peau (et qui en plus, troll comme un élève de CP écrivant un sms) ??

Microsoft pourrait sacrifier des enfants en l'honneur de Bill Gates, qu'il leur lancerait encore des fleurs...

Il est tellement de mauvaise foi, que même quand Microsoft fait de la merde (comme toutes les boîtes, ça leur arrive), il arrive à nous dire que finalement c'était une bonne chose.

Oui aucune société n'est parfaite, que cela soit Microsoft, Apple, Google ou autres, maintenant, la news parle d'un problème chez Microsoft, pas des autres.

Si tu veux dire du mal des autres aussi GHetfield, pour que cela soit plus "équitable", va troll directement les news qui parlent des problèmes rencontrés chez les concurrents.
6  1 
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 19/01/2015 à 15:22
Citation Envoyé par Lutarez Voir le message
1 mois pour la sortie du patch. Celui-ci existe déjà, c'est pas comme si MS avait regardé l'horloge tournée sans rien faire. Sur ce point, oui, Google est irresponsable, car il va mettre en danger tous les utilisateurs de Windows alors que le patch existe. Quelle genre de pression est-ce là ?

En fait, c'est Microsoft qui met en danger ses utilisateurs en ne corrigeant pas suffisamment rapidement les failles. Il est parfaitement possible que celle-ci soit déjà exploité. Les pirates ont la fâcheuse tendance à ne pas publier un communiqué quand ils développent un malware exploitant une faille.

C'est pour cette raison que je comprends parfaitement que Google impose un délai maximum avant de publier la faille quoi qu'il arrive. Microsoft a déjà un sacré passif de failles corrigées très tardivement.
5  0 
Avatar de expertsecu
Inactif https://www.developpez.com
Le 25/01/2015 à 1:47
Citation Envoyé par Haseo86 Voir le message
(parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça).
Ils feraient comment?
5  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 18/01/2015 à 20:26
Citation Envoyé par GHetfield Voir le message
...Maintenant t'es pas obliger de lire...
Malheureusement, on est bien obligés de lire les délires de certains si on veux suivre sérieusement un sujet. On en est déjà à deux page de pollution depuis que t'as lancé ton Troll.

D'où ma question "T'en n'as pas marre de raconter des âneries ?"
6  2 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 19/01/2015 à 7:14
Citation Envoyé par GHetfield Voir le message
...Ah non t'es pas client Apple. Bin ne soit pas client Microsoft alors et arrête de te plaindre.
Décidément, soit tu ne sais pas lire, soit tu comprends tout de travers.
  1. Il ne se plaint pas de Apple : Parce qu'il n'est pas client. Si il l'était il n'hésiterait pas à s'en plaindre
  2. Il se plait de µSoft : Parce qu'il est client. Si il ne l'était pas, il ne serait probablement pas venu sur ce fil. Mais ayant investit dans des produits de cet éditeur, il a naturellement son mot à dire.
  3. Il ne s'est pas plaint non plus quand Google a révélé des failles dans GNU/Linux, car ces failles ont été résolues rapidement par la communauté.

Et c'est exactement pareil pour moi ... car je ne suis client ni de Oracle, ni de Apple, et en plus, je ne suis pas client de Google. Mais, en tant que client de µSoft, j'attends de lui un service à la hauteur des tarifs qu'il pratique pour des particuliers comme moi. La correction prioritaire des failles me semble une attente légitime pour les clients.

Il n'y a pas de raison pour qu'il mette plus de temps à corriger ses failles que les autres. Et si je veux bien admettre que Windows est complexe et qu'une faille ne soit pas facile à corriger, et bien, c'est exactement la même chose sous Androïd, MacOSX ou Linux.
6  2 
Avatar de kolodz
Modérateur https://www.developpez.com
Le 19/01/2015 à 9:58
Citation Envoyé par GHetfield Voir le message
Il est ou le mensonge ? Ca Fonctionne sous Mac et Windows. Donc different OS. Ca fonctionne sous FireFox et CHrome. C'est pas la faute a Microsoft si Firefox et chrome on abandonné le support Silverlight. Si Microsoft pouvait obliger Google a faire certain choix ca se saurait. T'as vraiment cru ca ??? D'ailleurs nos sites fonctionne toujours au moins sur FireFox. Chrome on n'as jamais teste
Hors sujet :
Pour rappel, c'est Adobe qui est en charge du plug-in Flash pour Firefox. D'ailleurs, c'est sur leur site que je vais faire les mises à jours et non chez Mozilla.

Donc, jeter la faute sur le navigateur pour Silverlight me semble un peu facile, sachant que l’outil que Silverlight concurrence(ait ?) prends en charge cette intégration.

--- Fin du HS ---

Pour les failles de sécurités, quand Microsoft annonce "C'était dans le prochain patch", il y énormément de boite qui annonce ça quand une faille est révélé au publique.

D'ailleurs pour l'un de mes sujets de blog, je suis tombé sur ce blog :
http://www.ifc0nfig.com
Et en particulier : Moonpig vulnerability qui est une "discosure" responsable. La faille en question a un an et demi.
Le blog en question a publié plusieurs "discosure", à lire donc.

Sans approuvé à 100% le comportement de Google dans ces cas. Le fait est qu'il est encore souvent nécessaire de rendre une faille publique pour que celle-ci soit traité.

Cordialement,
Patrick Kolodziejczyk.
5  1 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 17/02/2015 à 10:37
Citation Envoyé par RogerBower Voir le message

Heureusement qu'il y avait d'autres gars qui pensaient comme moi quand même lol... Et c'est gars là ont même réussi à faire changer leur politique à Google, c'est pas jolie cette fin d'affaire ? Allez, sans rancune les gars
sérieusement tu t'imagines avoir une responsabilité dans ce changement de politique...?



Citation Envoyé par RogerBower Voir le message

Ils ont du en faire les frais chez Google, parce que en faisant ça, les pirates ont du investir des machines dont la faille n'était évidemment pas comblée, et par rebond, trouver tout un tas de mots de passe de compte Google lol, et par rebond encore, hacker tout un tas de compte Google, les fermer, vider les emails et j'en passe, et comme Google tient de statistiques de tout.... Et peuvent savoir comment les choses se passent, ils ont du voir par exemple une bonne recrudescence de comptes hackés : "Mais, comment cela se fait-il ? Ont-ils du se demander....".


sérieusement, je comprends que Google adapte sa politique histoire de faire semblant de contenter les râleurs, mais bordel si on regarde bien ils ont pas changé grand choses:
- si le 91e jour tombe un week end, ils attendront le lundi pour divulguer la faille. honnêtement je vois pas comment on peut (du coté des plaignants) se féliciter d'une telle "victoire". c'est juste ridicule...
- si l'éditeur du soft faillible dépose une demande de prolongation avant la fin du 90e en promettant un patch à venir rapidement, il pourra bénéficier de 14 jours de plus. là c'est déjà plus intéressant pour l'éditeur pas pressé, un peu "j'm'en foutiste" (ce qui revient peut être un peu au même), qui fait face à un vrai défi technique ou qui subit l'architecture bancale de son soft. bien que j'ai du mal à croire que ça va changer grand chose pour la plupart des corrections (qui ne doivent pas prendre 14 jours, ni même 90 ou 104) peut être que ça pourra être réellement utile dans certain cas. après je doute pas que certains éditeur risquent de demander ce délai systématiquement. mais faut pas oublier que "Comme d'habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières." (dixit Google), donc prudence...

j'espère que Google fournira des statistiques sur ceux qui demandent ces délais et pour quelles failles, histoire de voir quels éditeurs se foutent de nous.
4  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 18/01/2015 à 23:09
Citation Envoyé par GHetfield Voir le message
Quand Microsoft a-t-il garanti la compatibilité de Silverlight pour les prochaine version de chrome ou firefox ?? Si tu as cru ca t'as ete tres naif.
1. Vous souvenez-vous qu'ils voulaient concurrencer Adoble Flash ? qui lui tourne sous Windows, Mac et GNU/Linux sur tous les navigateurs ?
2. ils anoncent clairement sur leur site:


Il n'y a pas marqué "ce plugin ne fonctionne QUE sous Windows, avec le navigateur IE.XX, non ?

De plus, je rappelle juste qu'à l'époque de son lancement, ils se positionnaient clairement comme un concurrent de flash, ça aussi vous l'oubliez ?
L’éditeur de Redmond présente son alternative à la solution d’animation d’Adobe, très répandue. Baptisée Silverlight, elle met l’accent sur la vidéo, dans le but de détrôner Flash sur des plates-formes communautaires telles que YouTube ou MySpace.
Et à l'époque pour rester sur cette promesse commerciale, on pouvait lire:
L'éditeur américain va collaborer avec Novell afin d’adapter Silverlight, sa technologie web concurrente de Flash d’adobe, pour les systèmes Linux. Elle prendra alors l’appellation Moonlight.
Citation Envoyé par GHetfield Voir le message

Nous avons encore des sites sous Silverlight sans aucun problemes. Mais par exemple OpenErp ne fournis pas de support avec IE. Et ca c'est bien un probleme utilisateur et pas developpeur.
Donc je peux aller voir le site en question ? je pourrais l'afficher sans problème sur mon navigateur ?
Je ne connais pas openErp et ce n'est pas une technologie m'embetant ou embettant les utilisateurs grand public

Citation Envoyé par GHetfield Voir le message

Peut etre l'espionage et le tracking fais par Google et Apple qui sont ceux qui en font le plus ??
Je le rappelle: je n'utilise pas de produits Apple
Pour Google, je suis libre d'utiliser ou non leurs produits en connaissance de cause: si je ne suis pas content je ne les utiliserait pas
Pour rappel, c'est Microsoft qui s'est permis de lire, rechercher dans les mails "hotmail" d'un de ses employés, mais là, ça ne vous dérange pas

Citation Envoyé par GHetfield Voir le message

C'est partous pareil. Tu fais une fixation sur Microsoft c'est tous.
La news parle ici de Microsoft, ce n'est pas une fixation mais une réaction à la news, par contre vous et le libre, ça c'est une fixation
5  2 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 23/01/2015 à 22:56
Citation Envoyé par cbleas Voir le message
Silverlight était quelquechose qui pouvait concurrencer flash. entre temps il y a eu le HTML5. Flash dans sont concept était en difficulté et évolue vers le HTML5. donc HTML5 de facon logique a empeché l'évolution de Silverlight. Maintenant c est normal que toute entreprise qui developpe un produit qui ne fonctionne pas doit l'arreter mais contrairement a google fait un support pendant encore des annees. Si j'ai bien compris les différentes news Google crée des extensions qui ne fonctionnent que sur chrome comme c'est le cas de silverlight mais là ça ne choque personne.
Attends, rassure-moi: tu n'es pas en train de comparer un plugin pour une technologie vendue comme portable à des plugins totalement côté client qui ne gènent en rien ceux qui ne naviguent pas sur Chrome j'espère? Où est-ce que j'ai mal compris ton intervention?
3  0