Google récidive. Le géant de la recherche a décidé de publier les détails sur une nouvelle faille zero-day dans Windows, alors que Microsoft n’a pas encore mis à la disposition des utilisateurs un correctif de sécurité.
La faille qui touche Windows 8.1 et Windows 7 (32 et 64 bits), se situe au niveau de la fonction de chiffrement CryptProtectMemory. En cas d’exploit, cette vulnérabilité pourrait entrainer une usurpation d’identité.
La faille avait été découverte par l’ingénieur de Google du nom de Forshaw, à l’origine da la divulgation de la précédente faille dans Windows 8.1. Elle a été enregistrée le 17 octobre sur le programme « Google Project Zero ». Une notification avait été envoyée à Microsoft et compte tenu du fait que le délai de 90 jours accordé ait été atteint, la faille a été divulguée publiquement.
Les experts en sécurité de Microsoft ont répertorié la faille le 29 octobre dernier. Un correctif avait été développé et devait être inclus dans le Patch Tuesday de janvier. Cependant, suite à des problèmes de compatibilité, Microsoft n’a pas été en mesure de publier un correctif à temps.
« Microsoft nous a informé qu’un correctif était prévu pour les patchs de janvier. Mais, il a été retiré en raison des problèmes de compatibilité. Par conséquent, le correctif est maintenant prévu dans les patchs de février », a écrit Forshaw, dans une mise à jour sur le dossier de la faille sur « Project Zero ».
Tout comme la dernière fois, Google a opté pour une publication de la faille, qui est accompagnée d’une preuve de faisabilité. Le but premier de ce geste étant de mettre la pression à l’éditeur afin qu’il publie un correctif pour sécuriser les utilisateurs, cela a aussi pour effet d’augmenter le risque d’exploitation de la vulnérabilité par les pirates.
Microsoft avait déjà critiqué cette façon de procéder chez Google, qui expose encore plus les utilisateurs. « Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », expliquait Chris Betz, responsable de la sécurité chez Microsoft, dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »
Pour Microsoft, il est préférable de travailler de façon concertée et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.
Source : Google Project Zero
Google divulgue une autre faille non corrigée de Windows
Google divulgue une autre faille non corrigée de Windows
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !