Google a révélé une vulnérabilité zero-day dans Windows qui est actuellement non corrigée et activement exploitée dans la nature. Il est loin de dire que Microsoft n'est pas trop content de cette situation, affirmant que les actions de Google «mettent les clients en danger».
Au début du mois d'octobre, Google a découvert de graves vulnérabilités dans Windows et Flash. Le 21 octobre, Google a informé Microsoft et Adobe des problèmes de sécurité critiques 5 façons de se protéger d'un exploit zero-day 5 façons de se protéger d'un exploit zero-day Exploitations zero-day, des vulnérabilités logicielles qui sont exploitées par des pirates avant un correctif devient disponible, constitue une véritable menace pour vos données et votre vie privée. Voici comment vous pouvez garder les hackers à distance. Lire la suite dans les deux produits. Le 26 octobre, Adobe a mis à jour Flash pour corriger le problème. Mais Microsoft n'a toujours pas résolu le problème qui se cache dans le noyau Windows.
Malgré cela, Google a divulgué les détails des vulnérabilités dans un article publié sur le blog de sécurité de Google le 31 octobre. Ceci est conforme à la politique de la société de révéler publiquement de tels problèmes existe sept jours après avoir informé le vendeur du (des) produit (s) concerné (s).
Microsoft est contrarié par Google
Google décrit la vulnérabilité de Windows comme suit:
"La vulnérabilité de Windows est une escalade de privilèges locale dans le noyau Windows qui peut être utilisée comme un échappement sandbox de sécurité. Il peut être déclenché via l'appel système win32k.sys NtSetWindowLongPtr () pour l'index GWLP_ID sur un descripteur de fenêtre avec GWL_STYLE défini sur WS_CHILD. Le sandbox de Chrome bloque les appels système win32k.sys à l'aide de l'option de verrouillage Win32k sur Windows 10, ce qui empêche l'exploitation de cette vulnérabilité d'échappement sandbox. "
Ce qui offre probablement assez d'informations pour que les pirates puissent comprendre comment utiliser la vulnérabilité à leur avantage. Cela a évidemment contrarié Microsoft, qui a déclaré à VentureBeat:
"Nous croyons en une divulgation coordonnée des vulnérabilités, et la divulgation d'aujourd'hui par Google expose les clients à des risques potentiels. Windows est la seule plate-forme avec un engagement client à enquêter sur les problèmes de sécurité signalés et à mettre à jour de manière proactive les périphériques impactés dès que possible. Nous recommandons aux clients d'utiliser Windows 10 et le navigateur Microsoft Edge pour une protection optimale. "
C'est mauvais pour tout le monde impliqué
Adobe a été capable de corriger la vulnérabilité rapidement, mais il est alors beaucoup plus facile de patcher Flash que de patcher Windows. Microsoft peut donc avoir un argument valable selon lequel une telle divulgation publique rapide est mauvaise pour toutes les personnes impliquées. C'est en dehors des criminels qui tentent d'exploiter les trous de sécurité.
Il est à noter que la vulnérabilité Flash est requise pour tirer parti de la vulnérabilité de Windows. Au moins dans sa forme actuelle. Donc, tant que vous vous assurez que vous avez la dernière version d'Adobe Flash Pourquoi Flash doit mourir (et comment vous pouvez vous en débarrasser) Pourquoi Flash a besoin de mourir (et comment vous pouvez vous en débarrasser) La relation d'Internet avec Flash a été rocailleux pendant un moment. Une fois, c'était une norme universelle sur le web. Maintenant, on dirait qu'il se dirige vers le billot. Qu'est ce qui a changé? Lire la suite, vous devriez être à l'abri de mal pour le moment. Cependant, Microsoft doit encore corriger la vulnérabilité de Windows plus tôt que plus tard.
Google a-t-il bien fait de divulguer cette vulnérabilité si rapidement? Est-ce que Microsoft a un argument valable que sept jours ne sont pas assez longs pour corriger ces problèmes? Avez-vous vérifié qu'Adobe Flash est à jour? Veuillez nous en informer dans les commentaires ci-dessous!
Crédit d'image: Pirátská Strana via Flickr