Microsoft débourse 125 000 $ mais refuse de patcher

Le par  |  19 commentaire(s) Source : HP Security Research
Microsoft-logo

Des chercheurs de HP ont découvert une technique d'exploitation pour mettre à mal Internet Explorer et des défenses de Windows. Une prouesse saluée par Microsoft qui ne veut cependant pas développer un correctif.

Membres de l'équipe Zero Day Initiative, trois chercheurs en sécurité de HP ont gagné 125 000 dollars en février dernier. Une somme - finalement reversée à des associations caritatives - déboursée par Microsoft dans le cadre de son programme Mitigation Bypass Bounty and BlueHat Bonus for Defense.

Internet_Explorer_logoCes chercheurs ont mis au jour des vulnérabilités dans la dernière version d'Internet Explorer et des techniques pour passer outre des protections anti-exploitation à l'instar de ASLR (Address Space Layout Randomization ; randomisation des adresses mémoire). En bonus, ils ont formulé une idée pour mettre au point des défenses contre la nouvelle technique d'attaque qu'ils ont identifiée.

Mais surprise, Microsoft refuse de patcher… À quoi bon alors débourser 125 000 dollars ? Les chercheurs de HP ont eux décidé de passer à la divulgation publique. Ce ne sont pas des représailles au non-patch de Microsoft mais la politique habituelle de Zero Day Initiative après un certain laps de temps écoulé.

Pour justifier son non-patch, Microsoft avance notamment que les bugs n'affectent pas les systèmes 64 bits. Un point confirmé par les chercheurs de HP et cela parce qu'avec un système 64 bits, l'espace d'adressage est beaucoup plus grand qu'avec un système 32 bit, d'où une plus grande efficacité de l'ASLR.

Néanmoins, ils soulignent qu'un système 32 bits est encore la " configuration par défaut de millions de systèmes ". " Nous avons publié un code de preuve de concept afin de démontrer le contournement (ndlr : des mécanismes de protection) sur Windows 7 et Windows 8.1. "

" Chez Zero Day Initiative, nous avons traité des vulnérabilités et les réponses des éditeurs depuis presque dix ans. C'est pratiquement la première fois qu'un éditeur a décidé de ne pas corriger un problème alors que nous pensons qu'il devrait le faire "

, écrit Dustin Childs de HP.

Il n'y a pas si longtemps, l'homme était le responsable du groupe Microsoft Trustworthy Computing chez Microsoft. Selon lui, la preuve de concept va donner aux utilisateurs des informations afin de se défendre contre de potentielles attaques.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1846498
Pourquoi une faille sur un système 32 bits ne mérite pas d'être patché selon MS ?
Le #1846516
5COMM a écrit :

Pourquoi une faille sur un système 32 bits ne mérite pas d'être patché selon MS ?


le 32 bits va passer à l'oubliette dans très bientôt. (Comme le 16 Bits des vieux Windows).
ça me parait un peu... normal en 2015 x')
Le #1846525
5COMM a écrit :

Pourquoi une faille sur un système 32 bits ne mérite pas d'être patché selon MS ?


Il faut vendre de l'Os.
Le #1846529
iFlo59 a écrit :

5COMM a écrit :

Pourquoi une faille sur un système 32 bits ne mérite pas d'être patché selon MS ?


le 32 bits va passer à l'oubliette dans très bientôt. (Comme le 16 Bits des vieux Windows).
ça me parait un peu... normal en 2015 x')


Perso, il ne me reste plus que mon mini portable qui soit encore en 32 Bits ... tout le reste chez moi est en 64 Bits
Le #1846533
A quand l'os 128 bits ? Que peut-on en attendre ?
Le #1846548

L'info du jour c'est qu'il y a encore des chercheurs en sécurité chez HP
Le #1846563
iFlo59 a écrit :

5COMM a écrit :

Pourquoi une faille sur un système 32 bits ne mérite pas d'être patché selon MS ?


le 32 bits va passer à l'oubliette dans très bientôt. (Comme le 16 Bits des vieux Windows).
ça me parait un peu... normal en 2015 x')


"à l'oubliette dans très bientôt." ... Ca fait 10 ans qu'on nous la sort celle-là ! N'empêche que le 32 bits est encore bien présent
Le #1846565
5COMM a écrit :

A quand l'os 128 bits ? Que peut-on en attendre ?


Le 64 ne tient pas ses promesses hormis l'adressage RAM supérieur au 4 Go. Il ne va pas significativement plus vite, il nécessite l'adaptation lourdes des pilotes, des applications, des compilateurs et des OS alors pourquoi passer au 128 bits alors qu'aucune machine n'est équipée de plus de 16 exbioctets (2^64) de mémoire
Le #1846569
Ulysse2K a écrit :

5COMM a écrit :

A quand l'os 128 bits ? Que peut-on en attendre ?


Le 64 ne tient pas ses promesses hormis l'adressage RAM supérieur au 4 Go. Il ne va pas significativement plus vite, il nécessite l'adaptation lourdes des pilotes, des applications, des compilateurs et des OS alors pourquoi passer au 128 bits alors qu'aucune machine ne supporte plus de 16 exbioctets (2^64) de mémoire


http://www.generation-nt.com/windows-8-128-bits-actualite-885921.html
Et au final
Le #1846616
Moi je suis choqué par l'homme qui avait sa "bit" chez microsinge, qui savait forcement l'existence de la faille depuis x années et qui vient chez Hp faire une decouverte miracle et proposer un odieux chantage lucratif qu'il n'eusse jamais eu a son ancien poste !

Ca merite une plainte pour non-respect de clause de confidentialité.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]