Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google révèle une faille touchant Windows 8.1, qui permet une élévation de privilèges,
Alors qu'un correctif n'est pas encore disponible

Le , par Hinault Romaric

21PARTAGES

9  2 
Un chercheur de Google a publié des détails sur une faille dans le système d’exploitation Windows 8.1 (32 et 64 bits), pouvant entrainer une élévation de privilèges.

La faille se trouve au niveau de « ahcache.sys/NtApphelpCacheControl », une fonction interne de Windows. En cas d’exploit, un pirate pourrait se retrouver en train d’exécuter certains programmes avec des droits d’administrateur.

Un porte-parole de Microsoft a reconnu l’existence de la faille. La firme travaille actuellement sur un correctif qui pourrait être disponible avec le premier Patch Tuesday de 2015 pour Windows. La firme limite cependant la portée de la faille. « Il est important de noter que pour qu’un pirate puisse exploiter cette faille sur un système affecté, il devrait disposer d’informations d’identification valides et être en mesure de se connecter localement à la machine ciblée », rassure le porte-parole de Microsoft. « Nous encourageons les clients à garder leur logiciel d’antivirus à jour, à installer les mises à jour de sécurité disponibles et à maintenir le pare-feu actif sur leur ordinateur. »

Il semblerait que la firme ait été prise au dépourvu par la mise à la disposition du public des informations sur cette faille, alors qu’un correctif n’est pas encore disponible.

La faille a été découverte le 30 septembre par l’ingénieur de Google du nom de Forshaw et est répertoriée suivant la politique « Google Project Zero », qui autorise la divulgation d’une faille 90 jours après sa découverte. « Ce bogue est soumis au délai de divulgation de 90 jours. Si les 90 jours s’écoulent sans qu’un correctif ne soit largement disponible, alors le rapport de bogue sera automatiquement visible du grand public », note Forshaw à la fin du dossier sur la faille. Rien ne précise cependant que Microsoft ait été alerté.

La preuve de faisabilité (PoC) qui a été publiée comprend deux fichiers exécutables et un ensemble d’instructions permettant de lancer la calculatrice Windows en tant qu’administrateur. Selon Forshaw, elle ne se trouverait pas au niveau de l’UAC (Contrôle de compte d'utilisateur ), mais celui-ci est utilisé en partie dans la preuve de faisabilité de la faille.

Le PoC a été exécuté sur Windows 8.1, dans les versions 32 et 64 bits. Il n’est pas certain que les autres versions du système d’exploitation soient affectées.

Source : Google Code

Et vous ?

Que pensez-vous du choix de Google de rendre publique la faille alors qu’un correctif n’est pas encore disponible ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de cbleas
Membre éprouvé https://www.developpez.com
Le 02/01/2015 à 16:51
quand est ce que que Google va utiliser ses chercheurs pour sécuriser android?
14  4 
Avatar de vanskjære
Membre averti https://www.developpez.com
Le 02/01/2015 à 15:03
Il faut avouer que 90 sans correctif laisse un doute sur le fait que Microsoft ai été contacter par rapport à cette découverte.
Le fait que maintenant google est concurrent avec son chromeOS, on a de quoi est suspicieux.
8  0 
Avatar de 23JFK
Membre expérimenté https://www.developpez.com
Le 02/01/2015 à 16:19
Citation Envoyé par Chauve souris Voir le message
Si j'ai bien compris la réponse de Krosoft il faut se connecter localement pour exploiter cette faille. Donc devant le PC ou un LAN. C'est quand même très limité comme risque AMHA.

Quand j'étais étudiant, il ne m'en a pas fallu plus pour m'inviter dans le système administratif de ma fac.
8  0 
Avatar de myNameIsFlo
Membre habitué https://www.developpez.com
Le 13/01/2015 à 13:18
Microsoft a demandé d'attendre 2 jours. Ce que google n'a pas fait pour l'emmerder. Ils sont concurrents ou pas?

Concernant, les remarques que Microsoft a les moyens. . .
Ce n'est pas une question de moyens mais de complexité. 90 jours pour corrigés un OS tel que Windows sur une faille complexe, c'est peu

Dans ma 'petite' entreprise, les clients attendent souvent 10 jours pour une correction sur un logiciel pas forcément complexe et payé un 'peu' plus que 100€. Personne ne se plaint.

Je ne suis pas pour ou contre mais il faut remettre les choses dans leur contexte (bande de français râleur
6  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 05/01/2015 à 15:48
Citation Envoyé par typoli Voir le message
Woow, c'est bon tu m'as saoulé, je change de moteur de recherche pour testé bing + effacement de toutes mes adresses e-mail gogol, direction outlook et go https://www.bing.com/translator/ et je vous em**** .

Adios Google.

PS: Bon j'avoue que google a fait fort pour la calculette en ligne :/ j'espère que MS va le dépasser aussi sur ce coup.
En plus le logo de bing est hachement plus beau que ton logo éponyme tout vieux.
Vous faites ce que vous voulez, je ne travaille pas pour Google

Mais je trouvais ironique de dire que d'un coté Google était des méchants car ils publiaient officiellement une faille dont ils avaient prévenu 90j
mais de l'autre Microsoft était des gentils alors qu'ils avaient carrément ouvert une boutique pour vendre des produits discréditant Google, et là je ne parle même pas du racket android
9  4 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 16/01/2015 à 12:38
Citation Envoyé par Hinault Romaric Voir le message
...Pour Microsoft, il est préférable de travailler de façon concerter et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.
Attendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?

Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).

Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.
9  4 
Avatar de Zirak
Inactif https://www.developpez.com
Le 19/01/2015 à 11:00
Je ne sais même pas pourquoi vous vous acharnez à répondre à l'autre troll qui transpire la mauvaise foi par tous les pores de sa peau (et qui en plus, troll comme un élève de CP écrivant un sms) ??

Microsoft pourrait sacrifier des enfants en l'honneur de Bill Gates, qu'il leur lancerait encore des fleurs...

Il est tellement de mauvaise foi, que même quand Microsoft fait de la merde (comme toutes les boîtes, ça leur arrive), il arrive à nous dire que finalement c'était une bonne chose.

Oui aucune société n'est parfaite, que cela soit Microsoft, Apple, Google ou autres, maintenant, la news parle d'un problème chez Microsoft, pas des autres.

Si tu veux dire du mal des autres aussi GHetfield, pour que cela soit plus "équitable", va troll directement les news qui parlent des problèmes rencontrés chez les concurrents.
6  1 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 19/01/2015 à 15:22
Citation Envoyé par Lutarez Voir le message
1 mois pour la sortie du patch. Celui-ci existe déjà, c'est pas comme si MS avait regardé l'horloge tournée sans rien faire. Sur ce point, oui, Google est irresponsable, car il va mettre en danger tous les utilisateurs de Windows alors que le patch existe. Quelle genre de pression est-ce là ?

En fait, c'est Microsoft qui met en danger ses utilisateurs en ne corrigeant pas suffisamment rapidement les failles. Il est parfaitement possible que celle-ci soit déjà exploité. Les pirates ont la fâcheuse tendance à ne pas publier un communiqué quand ils développent un malware exploitant une faille.

C'est pour cette raison que je comprends parfaitement que Google impose un délai maximum avant de publier la faille quoi qu'il arrive. Microsoft a déjà un sacré passif de failles corrigées très tardivement.
5  0 
Avatar de expertsecu
Inactif https://www.developpez.com
Le 25/01/2015 à 1:47
Citation Envoyé par Haseo86 Voir le message
(parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça).
Ils feraient comment?
5  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 18/01/2015 à 20:26
Citation Envoyé par GHetfield Voir le message
...Maintenant t'es pas obliger de lire...
Malheureusement, on est bien obligés de lire les délires de certains si on veux suivre sérieusement un sujet. On en est déjà à deux page de pollution depuis que t'as lancé ton Troll.

D'où ma question "T'en n'as pas marre de raconter des âneries ?"
6  2