Google a rendu publique une faille majeure de Windows
Avant que Microsoft ait publié un correctif de sécurité

Le , par Coriolan

63PARTAGES

7  0 
Ce lundi 31 octobre, l’équipe de chercheurs en sécurité informatique de Google a rendu publique une vulnérabilité jugée critique dans Windows. Dans un billet de blog, l’équipe a mis en détail les spécificités de ce bogue permettant aux pirates d’échapper aux sandboxes de sécurité grâce à une faille dans le système win32k. Selon les chercheurs, cette faille serait déjà “activement exploitée”.


Cette révélation vient dix jours après que la firme a prévenu Microsoft de l’existence de la vulnérabilité. N’ayant reçu aucune réponse de la part de la firme de Redmond, aucun patch de sécurité pour régler le problème ni même un avertissement aux utilisateurs, Google a décidé d’agir en public et dévoiler l’existence de cette faille. Seul bémol, Google a déjà déployé un correctif pour les utilisateurs de Chrome, tandis que Windows reste vulnérable.

Dans le billet de blog, Google a fourni une description générale du bogue de sécurité, permettant aux utilisateurs d’avoir assez d’informations pour se rendre compte de la gravité des possibles attaques, toutefois les cybercriminels n’auront pas assez de détails pour exploiter la faille. Cette vulnérabilité dépend également d’une autre faille dans Adobe Flash, néanmoins ce dernier a été mis à jour le 26 octobre pour adresser ce problème.

Réaction de Microsoft

L’initiative de Google a naturellement déplu à Microsoft, la firme n’a pas manqué de critiquer l’attitude de Google et a fait savoir que cette divulgation met en danger la sécurité des consommateurs. Ce n’est pas la première fois que les deux géants sont entrés en conflit à cause de la façon avec laquelle le géant de la recherche divulgue les vulnérabilités repérées. En 2013, Google avait informé que si les failles critiques ne sont pas réparées sept jours après leur signalement, de façon privée par la firme, alors l’entreprise se permettra de les rendre publiques. Un délai très court selon les propres termes de Google à l’époque : « Sept jours est un délai très serré, et cela peut être trop court pour que certaines entreprises mettent à jour leurs produits, mais cela devrait suffire pour qu’elles publient des conseils pour limiter les risques. »

Les chercheurs de Google conseillent les utilisateurs de Chrome et de Flash de s’assurer qu’ils sont parfaitement à jour ou de les mettre à jour manuellement le cas échéant. Pour les autres, ils n’ont pas défini des consignes à suivre à part d’attendre la disponibilité d’un correctif de Windows. Microsoft a pour sa part donné pour conseil d’utiliser Windows 10 et son navigateur Edge pour une meilleure protection. En effet, la firme a confirmé que les utilisateurs ayant installé Windows 10 Anniversary Update ne sont pas affectés par cette vulnérabilité. Un correctif sera publié le 8 novembre.

Source : Google - Microsoft

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de guigz2000
Membre actif https://www.developpez.com
Le 02/11/2016 à 8:03
En attendant, les failles d'android ne sont pas corrigées en 7 jours.
7  0 
Avatar de David_g
Membre éclairé https://www.developpez.com
Le 02/11/2016 à 9:27
Citation Envoyé par guigz2000 Voir le message
En attendant, les failles d'android ne sont pas corrigées en 7 jours.
Oui, quand on pense à la faille sur le navigateur standard d'android et son "traitement" par Google ça fait sourire.
6  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 02/11/2016 à 0:06
La faille est en cours d'exploitation.
Elle est critique : élévation de privilège.
Même si Flash se meurt, quantité d'utilisateurs finaux ignorent sa perméabilité récurrente.
Depuis le temps, MS aurait du changer sa politique de patch.
La loi elle-même exige une meilleure réactivité.

Devine qui c'est !!!
4  0 
Avatar de Bono_BX
Membre confirmé https://www.developpez.com
Le 02/11/2016 à 12:06
Citation Envoyé par David_g Voir le message
Oui, quand on pense à la faille sur le navigateur standard d'android et son "traitement" par Google ça fait sourire.
Et il n'y a pas que pour Android ! Pour avoir bosser avec eux pour de l'e-commerce, je peux vous dire qu'ils ont un gros bug sur l'import des données, et quand on leur remonte, on nous dit, quasi-texto, qu'ils sont au courant, mais que vu les parts de marché que l'on perdrait si l'on arrêtait de souscrire à leur service, ils ne corrigeront pas le bug et c'est à nous de nous adapter. Abus de position dominante ...
3  0 
Avatar de micka132
Expert confirmé https://www.developpez.com
Le 02/11/2016 à 17:07
Citation Envoyé par Michael Guilloux Voir le message
Sans vouloir établir de lien, Reuters s’est donc demandé si la faille en question n’a pas été exploitée par les hackers russes dans les attaques visant à perturber les élections présidentielles des États-Unis.
C'est bien connu, il n'y a qu'une seule faille actuellement tout système confondus, et en plus seul les Russes savent l'exploiter.
C'est à peu prés aussi futé que de se demander si un Guinéen n'est pas actuellement dans un avion direction le Japon...Sauf si derrière les enjeux sont bien plus larges et qu'on prépare les esprits en cas de résultat de scrutin qui ne plait pas!

Citation Envoyé par hotcryx Voir le message
Ils feraient bien mieux de patcher les machines de vote truquées de Soros
Peut etre qu'en réalité, Soros nous fait croire qu'il est pour Clinton et qu'il n'aime pas les Russes, mais qu'en réalité il s'est fait soudoyer par ces derniers (on n'est jamais assez riches!) pour faire développer ces machines à votes sous windows (et comme il n'y a que les Russes qui savent y faire...)!
3  0 
Avatar de Guiliguili
Nouveau membre du Club https://www.developpez.com
Le 02/11/2016 à 0:49
Google vs Microsoft, Microsoft vs Google.

Au final, l'un comme l'aute se pousse mutuellement à une réactivité ligitime pour l'utilisateur final.

Qu'ils continuent ansi. Chacun montrant l'autre comme dangereux de par leurs produits constamment mal fini et quasi jamais corrigé...

Cette fois. Il faut corriger.

C'est très bien !
3  1 
Avatar de LapinGarou
Membre confirmé https://www.developpez.com
Le 02/11/2016 à 12:12
En attendant, les failles d'android ne sont pas corrigées en 7 jours.
+1, sans compter les devices délaissés par les nouveaux OS pour pousser à acheter les dernier smartphones (ça n'est pas seulement un problème de support par le hardware non non non on ne m'aura pas là dessus, suffit de brider les effets visuels ou autres), il y a certainement de quoi se faire un parc d'appareils zombies conséquent pour planifier une attaque...
2  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 03/11/2016 à 15:28
Le patch arrive le 8 novembre => bien trop tard, après les élections, la porte est entre-temps grande ouverte

Imaginez la même situation dans un autre contexte:

"Capitaine, nous avons un trou dans la coque de l'eau rentre dans la cale. Les pompes n'arrivent pas à évacuer l'eau."

"Je m'en occupe, le 8, cela sera réglé"
1  0 
Avatar de Songbird
Expert confirmé https://www.developpez.com
Le 01/11/2016 à 23:56
« Sept jours est un délai très serré, et cela peut être trop court pour que certaines entreprises mettent à jour leurs produits, mais cela devrait suffire pour qu’elles publient des conseils pour limiter les risques. »
C'est un délai serré, mais qui dit que le feedback de Google aurait été pris en compte par Microsoft si ils ne l'avaient pas publié aux yeux de tous pour les pousser à proposer un patch ?
1  1 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 02/11/2016 à 17:01
Ils feraient bien mieux de patcher les machines de vote truquées de Soros
0  1 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web