Google divulgue une autre faille non corrigée de Windows
Le 2015-01-16 11:43:21, par Hinault Romaric, Responsable .NET
Google récidive. Le géant de la recherche a décidé de publier les détails sur une nouvelle faille zero-day dans Windows, alors que Microsoft n’a pas encore mis à la disposition des utilisateurs un correctif de sécurité.
La faille qui touche Windows 8.1 et Windows 7 (32 et 64 bits), se situe au niveau de la fonction de chiffrement CryptProtectMemory. En cas d’exploit, cette vulnérabilité pourrait entrainer une usurpation d’identité.
La faille avait été découverte par l’ingénieur de Google du nom de Forshaw, à l’origine da la divulgation de la précédente faille dans Windows 8.1. Elle a été enregistrée le 17 octobre sur le programme « Google Project Zero ». Une notification avait été envoyée à Microsoft et compte tenu du fait que le délai de 90 jours accordé ait été atteint, la faille a été divulguée publiquement.
Les experts en sécurité de Microsoft ont répertorié la faille le 29 octobre dernier. Un correctif avait été développé et devait être inclus dans le Patch Tuesday de janvier. Cependant, suite à des problèmes de compatibilité, Microsoft n’a pas été en mesure de publier un correctif à temps.
« Microsoft nous a informé qu’un correctif était prévu pour les patchs de janvier. Mais, il a été retiré en raison des problèmes de compatibilité. Par conséquent, le correctif est maintenant prévu dans les patchs de février », a écrit Forshaw, dans une mise à jour sur le dossier de la faille sur « Project Zero ».
Tout comme la dernière fois, Google a opté pour une publication de la faille, qui est accompagnée d’une preuve de faisabilité. Le but premier de ce geste étant de mettre la pression à l’éditeur afin qu’il publie un correctif pour sécuriser les utilisateurs, cela a aussi pour effet d’augmenter le risque d’exploitation de la vulnérabilité par les pirates.
Microsoft avait déjà critiqué cette façon de procéder chez Google, qui expose encore plus les utilisateurs. « Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », expliquait Chris Betz, responsable de la sécurité chez Microsoft, dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »
Pour Microsoft, il est préférable de travailler de façon concertée et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.
Source : Google Project Zero
La faille qui touche Windows 8.1 et Windows 7 (32 et 64 bits), se situe au niveau de la fonction de chiffrement CryptProtectMemory. En cas d’exploit, cette vulnérabilité pourrait entrainer une usurpation d’identité.
La faille avait été découverte par l’ingénieur de Google du nom de Forshaw, à l’origine da la divulgation de la précédente faille dans Windows 8.1. Elle a été enregistrée le 17 octobre sur le programme « Google Project Zero ». Une notification avait été envoyée à Microsoft et compte tenu du fait que le délai de 90 jours accordé ait été atteint, la faille a été divulguée publiquement.
Les experts en sécurité de Microsoft ont répertorié la faille le 29 octobre dernier. Un correctif avait été développé et devait être inclus dans le Patch Tuesday de janvier. Cependant, suite à des problèmes de compatibilité, Microsoft n’a pas été en mesure de publier un correctif à temps.
« Microsoft nous a informé qu’un correctif était prévu pour les patchs de janvier. Mais, il a été retiré en raison des problèmes de compatibilité. Par conséquent, le correctif est maintenant prévu dans les patchs de février », a écrit Forshaw, dans une mise à jour sur le dossier de la faille sur « Project Zero ».
Tout comme la dernière fois, Google a opté pour une publication de la faille, qui est accompagnée d’une preuve de faisabilité. Le but premier de ce geste étant de mettre la pression à l’éditeur afin qu’il publie un correctif pour sécuriser les utilisateurs, cela a aussi pour effet d’augmenter le risque d’exploitation de la vulnérabilité par les pirates.
Microsoft avait déjà critiqué cette façon de procéder chez Google, qui expose encore plus les utilisateurs. « Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », expliquait Chris Betz, responsable de la sécurité chez Microsoft, dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »
Pour Microsoft, il est préférable de travailler de façon concertée et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.
Source : Google Project Zero
-
Pierre GIRARDExpert éminentAttendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?
Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).
Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.le 16/01/2015 à 12:38 -
ZirakInactifJe ne sais même pas pourquoi vous vous acharnez à répondre à l'autre troll qui transpire la mauvaise foi par tous les pores de sa peau (et qui en plus, troll comme un élève de CP écrivant un sms) ??
Microsoft pourrait sacrifier des enfants en l'honneur de Bill Gates, qu'il leur lancerait encore des fleurs...
Il est tellement de mauvaise foi, que même quand Microsoft fait de la merde (comme toutes les boîtes, ça leur arrive), il arrive à nous dire que finalement c'était une bonne chose.
Oui aucune société n'est parfaite, que cela soit Microsoft, Apple, Google ou autres, maintenant, la news parle d'un problème chez Microsoft, pas des autres.
Si tu veux dire du mal des autres aussi GHetfield, pour que cela soit plus "équitable", va troll directement les news qui parlent des problèmes rencontrés chez les concurrents.le 19/01/2015 à 11:00 -
Traroth2Membre émériteEn fait, c'est Microsoft qui met en danger ses utilisateurs en ne corrigeant pas suffisamment rapidement les failles. Il est parfaitement possible que celle-ci soit déjà exploité. Les pirates ont la fâcheuse tendance à ne pas publier un communiqué quand ils développent un malware exploitant une faille.
C'est pour cette raison que je comprends parfaitement que Google impose un délai maximum avant de publier la faille quoi qu'il arrive. Microsoft a déjà un sacré passif de failles corrigées très tardivement.le 19/01/2015 à 15:22 -
expertsecuInactifle 25/01/2015 à 1:47
-
Pierre GIRARDExpert éminentMalheureusement, on est bien obligés de lire les délires de certains si on veux suivre sérieusement un sujet. On en est déjà à deux page de pollution depuis que t'as lancé ton Troll.
D'où ma question "T'en n'as pas marre de raconter des âneries ?"le 18/01/2015 à 20:26 -
Pierre GIRARDExpert éminentDécidément, soit tu ne sais pas lire, soit tu comprends tout de travers.
- Il ne se plaint pas de Apple : Parce qu'il n'est pas client. Si il l'était il n'hésiterait pas à s'en plaindre
- Il se plait de µSoft : Parce qu'il est client. Si il ne l'était pas, il ne serait probablement pas venu sur ce fil. Mais ayant investit dans des produits de cet éditeur, il a naturellement son mot à dire.
- Il ne s'est pas plaint non plus quand Google a révélé des failles dans GNU/Linux, car ces failles ont été résolues rapidement par la communauté.
Et c'est exactement pareil pour moi ... car je ne suis client ni de Oracle, ni de Apple, et en plus, je ne suis pas client de Google. Mais, en tant que client de µSoft, j'attends de lui un service à la hauteur des tarifs qu'il pratique pour des particuliers comme moi. La correction prioritaire des failles me semble une attente légitime pour les clients.
Il n'y a pas de raison pour qu'il mette plus de temps à corriger ses failles que les autres. Et si je veux bien admettre que Windows est complexe et qu'une faille ne soit pas facile à corriger, et bien, c'est exactement la même chose sous Androïd, MacOSX ou Linux.le 19/01/2015 à 7:14 -
kolodzModérateurHors sujet :
Pour rappel, c'est Adobe qui est en charge du plug-in Flash pour Firefox. D'ailleurs, c'est sur leur site que je vais faire les mises à jours et non chez Mozilla.
Donc, jeter la faute sur le navigateur pour Silverlight me semble un peu facile, sachant que l’outil que Silverlight concurrence(ait ?) prends en charge cette intégration.
--- Fin du HS ---
Pour les failles de sécurités, quand Microsoft annonce "C'était dans le prochain patch", il y énormément de boite qui annonce ça quand une faille est révélé au publique.
D'ailleurs pour l'un de mes sujets de blog, je suis tombé sur ce blog :
http://www.ifc0nfig.com
Et en particulier : Moonpig vulnerability qui est une "discosure" responsable. La faille en question a un an et demi.
Le blog en question a publié plusieurs "discosure", à lire donc.
Sans approuvé à 100% le comportement de Google dans ces cas. Le fait est qu'il est encore souvent nécessaire de rendre une faille publique pour que celle-ci soit traité.
Cordialement,
Patrick Kolodziejczyk.le 19/01/2015 à 9:58 -
TryphMembre éméritesérieusement tu t'imagines avoir une responsabilité dans ce changement de politique...?
sérieusement, je comprends que Google adapte sa politique histoire de faire semblant de contenter les râleurs, mais bordel si on regarde bien ils ont pas changé grand choses:
- si le 91e jour tombe un week end, ils attendront le lundi pour divulguer la faille. honnêtement je vois pas comment on peut (du coté des plaignants) se féliciter d'une telle "victoire". c'est juste ridicule...
- si l'éditeur du soft faillible dépose une demande de prolongation avant la fin du 90e en promettant un patch à venir rapidement, il pourra bénéficier de 14 jours de plus. là c'est déjà plus intéressant pour l'éditeur pas pressé, un peu "j'm'en foutiste" (ce qui revient peut être un peu au même), qui fait face à un vrai défi technique ou qui subit l'architecture bancale de son soft. bien que j'ai du mal à croire que ça va changer grand chose pour la plupart des corrections (qui ne doivent pas prendre 14 jours, ni même 90 ou 104) peut être que ça pourra être réellement utile dans certain cas. après je doute pas que certains éditeur risquent de demander ce délai systématiquement. mais faut pas oublier que "Comme d'habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières." (dixit Google), donc prudence...
j'espère que Google fournira des statistiques sur ceux qui demandent ces délais et pour quelles failles, histoire de voir quels éditeurs se foutent de nous.le 17/02/2015 à 10:37 -
imikadoRédacteur1. Vous souvenez-vous qu'ils voulaient concurrencer Adoble Flash ? qui lui tourne sous Windows, Mac et GNU/Linux sur tous les navigateurs ?
2. ils anoncent clairement sur leur site:
Il n'y a pas marqué "ce plugin ne fonctionne QUE sous Windows, avec le navigateur IE.XX, non ?
De plus, je rappelle juste qu'à l'époque de son lancement, ils se positionnaient clairement comme un concurrent de flash, ça aussi vous l'oubliez ?
L’éditeur de Redmond présente son alternative à la solution d’animation d’Adobe, très répandue. Baptisée Silverlight, elle met l’accent sur la vidéo, dans le but de détrôner Flash sur des plates-formes communautaires telles que YouTube ou MySpace.
L'éditeur américain va collaborer avec Novell afin d’adapter Silverlight, sa technologie web concurrente de Flash d’adobe, pour les systèmes Linux. Elle prendra alors l’appellation Moonlight.
Je ne connais pas openErp et ce n'est pas une technologie m'embetant ou embettant les utilisateurs grand public
Je le rappelle: je n'utilise pas de produits Apple
Pour Google, je suis libre d'utiliser ou non leurs produits en connaissance de cause: si je ne suis pas content je ne les utiliserait pas
Pour rappel, c'est Microsoft qui s'est permis de lire, rechercher dans les mails "hotmail" d'un de ses employés, mais là, ça ne vous dérange pas
La news parle ici de Microsoft, ce n'est pas une fixation mais une réaction à la news, par contre vous et le libre, ça c'est une fixationle 18/01/2015 à 23:09 -
kain_tnExpert éminentAttends, rassure-moi: tu n'es pas en train de comparer un plugin pour une technologie vendue comme portable à des plugins totalement côté client qui ne gènent en rien ceux qui ne naviguent pas sur Chrome j'espère? Où est-ce que j'ai mal compris ton intervention?le 23/01/2015 à 22:56