Google vient de dévoiler une vulnérabilité Windows non corrigée

Google a révélé une vulnérabilité zero-day dans Windows qui n’est actuellement pas corrigée et est activement exploitée dans la nature. Il est loin de dire que Microsoft n’est pas très satisfait de cette situation, affirmant que les actions de Google «mettent les clients à risque».

Au début d’octobre, Google a découvert de graves vulnérabilités dans Windows et Flash. Le 21 octobre, Google a informé Microsoft et Adobe des problèmes de sécurité critiques dans les deux produits. Le 26 octobre, Adobe a mis à jour Flash pour résoudre le problème. Mais Microsoft n’a toujours pas résolu le problème qui se cache dans le noyau Windows.

Malgré cela, Google a divulgué les détails des vulnérabilités dans un article publié sur le blog de sécurité Google le 31 octobre. Cela adhère à la politique de l’entreprise de révéler publiquement de tels problèmes sept jours après avoir informé le vendeur du ou des produits concernés.

Microsoft se fâche avec Google

Google décrit la vulnérabilité Windows comme suit:

«La vulnérabilité Windows est une élévation de privilèges locaux dans le noyau Windows qui peut être utilisée comme échappement de sécurité sandbox. Il peut être déclenché via l’appel système win32k.sys NtSetWindowLongPtr () pour l’index GWLP_ID sur un handle de fenêtre avec GWL_STYLE défini sur WS_CHILD. Le bac à sable de Chrome bloque les appels système win32k.sys à l’aide de l’atténuation du verrouillage Win32k sur Windows 10, ce qui empêche l’exploitation de cette vulnérabilité d’échappement de bac à sable. »

Ce qui offre probablement suffisamment d’informations aux pirates pour comprendre comment utiliser la vulnérabilité à leur avantage. Cela a évidemment bouleversé Microsoft, qui a déclaré VentureBeat:

«Nous croyons en une divulgation coordonnée des vulnérabilités, et la divulgation d’aujourd’hui par Google expose les clients à des risques potentiels. Windows est la seule plate-forme avec un engagement client à enquêter sur les problèmes de sécurité signalés et à mettre à jour de manière proactive les appareils concernés dès que possible. Nous recommandons aux clients d’utiliser Windows 10 et le navigateur Microsoft Edge pour une protection optimale. »

C’est mauvais pour toutes les personnes impliquées

Adobe a pu corriger la vulnérabilité rapidement, mais il est alors beaucoup plus facile de corriger Flash que de corriger Windows. Microsoft peut donc avoir un argument valable selon lequel une divulgation publique aussi rapide est mauvaise pour toutes les personnes impliquées. C’est en dehors des criminels qui tentent d’exploiter les failles de sécurité.

Publicité

Il est à noter que la vulnérabilité Flash est nécessaire pour profiter de la vulnérabilité Windows. Au moins dans sa forme actuelle. Donc, tant que vous vous assurez que vous disposez de la dernière version d’Adobe Flash, vous devez être à l’abri pour le moment. Cependant, Microsoft doit encore corriger la vulnérabilité Windows le plus tôt possible.

En relation :  Ne laissez pas Windows 10 vous espionner: gérez votre confidentialité!

Google a-t-il fait la bonne chose en révélant cette vulnérabilité si rapidement? Microsoft a-t-il un argument valable selon lequel sept jours ne suffisent pas pour corriger de tels problèmes? Avez-vous vérifié qu’Adobe Flash est à jour? Veuillez nous en informer dans les commentaires ci-dessous!

Crédit d’image: Pirátská Strana via Flickr

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.