Google vient de sortir une vulnérabilité Windows non corrigée
Google a révélé une vulnérabilité de type «jour zéro» dans Windows, qui n’est actuellement pas corrigée et qui est activement exploitée à l’état sauvage. C’est loin de dire que Microsoft n’est pas trop content de cette situation, réclamant les actions de Google. “met les clients à risque potentiel”.
Début octobre, Google a découvert de graves vulnérabilités dans Windows et Flash. Le 21 octobre, Google et Microsoft ont informé Microsoft et Adobe des problèmes de sécurité critiques. Cinq façons de se protéger contre les attaques du jour zéro. 5 façons de se protéger d'un exploit du jour zéro. un correctif devient disponible, constitue une menace réelle pour vos données et votre vie privée. Voici comment vous pouvez tenir les pirates informatiques à distance. Lire la suite dans les deux produits. Le 26 octobre, Adobe a mis à jour Flash pour résoudre le problème. Mais Microsoft n'a toujours pas résolu le problème caché dans le noyau Windows.
Malgré cela, Google a dévoilé les détails des vulnérabilités dans un article publié sur le blog Google Security le 31 octobre. Ceci est conforme à la politique de l'entreprise consistant à révéler publiquement que de tels problèmes surviennent sept jours après avoir informé le fournisseur du ou des produits concernés..
Microsoft s'énerve avec Google
Google décrit la vulnérabilité de Windows comme suit:
“La vulnérabilité de Windows est une élévation de privilèges locale dans le noyau Windows qui peut être utilisée en tant qu'échappement de sandbox de sécurité. Il peut être déclenché via l'appel système win32k.sys NtSetWindowLongPtr () pour l'index GWLP_ID sur un handle de fenêtre avec GWL_STYLE défini sur WS_CHILD. Le bac à sable de Chrome bloque les appels système win32k.sys à l'aide de l'atténuation du verrouillage Win32k sous Windows 10, ce qui empêche l'exploitation de cette vulnérabilité d'échappement de bac à sable.”
Ce qui offre probablement assez d’informations aux pirates pour savoir comment utiliser cette vulnérabilité à leur avantage. Cela a évidemment contrarié Microsoft, qui a déclaré à VentureBeat:
“Nous croyons en la divulgation coordonnée des vulnérabilités et la divulgation faite aujourd'hui par Google expose les clients à un risque potentiel. Windows est la seule plate-forme avec un engagement de la part du client d’enquêter sur les problèmes de sécurité signalés et de mettre à jour de manière proactive les périphériques concernés dès que possible. Nous recommandons aux clients d’utiliser Windows 10 et le navigateur Microsoft Edge pour une protection optimale..”
C'est mauvais pour tout le monde impliqué
Adobe a pu corriger la vulnérabilité rapidement, mais il est beaucoup plus facile de corriger Flash que de corriger Windows. Microsoft peut donc avoir un argument valable selon lequel une telle divulgation publique rapide est mauvaise pour toutes les personnes impliquées. C'est à part des criminels qui tentent d'exploiter les failles de sécurité.
Il convient de noter que la vulnérabilité Flash est requise pour tirer parti de la vulnérabilité Windows. Au moins dans sa forme actuelle. Donc, tant que vous avez la dernière version d'Adobe Flash Pourquoi Flash doit-il mourir (et comment vous en débarrasser) Pourquoi Flash doit-il mourir (et comment vous en débarrasser)? La relation d'Internet avec Flash a été rocheux pendant un moment. C'était une fois un standard universel sur le web. Maintenant, il semble que cela pourrait être dirigé vers le billot. Qu'est ce qui a changé? Lire la suite, vous devriez être à l'abri de tout danger pour le moment. Cependant, Microsoft doit toujours corriger la vulnérabilité Windows le plus tôt possible..
Google a-t-il pris la bonne décision en divulguant cette vulnérabilité si rapidement? Microsoft a-t-il un argument valable selon lequel sept jours ne sont pas assez longs pour corriger de tels problèmes? Avez-vous vérifié que Adobe Flash est à jour? Veuillez nous en informer dans les commentaires ci-dessous!
Crédit d'image: Pirátská Strana via Flickr
En savoir plus sur: Adobe Flash, Google, Piratage, Microsoft, Windows.