Windows 8.1 : une 0-day publiée par des chercheurs de Google

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Windows 8.1 : une 0-day publiée par des chercheurs de Google

Publié le 05 janvier 2015 à 09:30 par Jérôme G.

Lire sur mobile

Le Project Zero de Google publie les détails d'une vulnérabilité non corrigée de Windows 8.1 pour laquelle Microsoft a été prévenu fin septembre. La firme de Redmond minimise sa portée.

Chercheur en sécurité chez Google, James Forshaw a découvert une vulnérabilité de sécurité dont une preuve de concept a été testée avec succès sur une version à jour de Windows 8.1 (32 et 64 bits). Il n'est pas sûr que Windows 7 soit également vulnérable en raison d'un contrôle de privilèges mais celui-ci pourrait toutefois être contourné.

De type élévation de privilèges, la vulnérabilité réside au niveau de l'appel système NtApphelpCacheControl. Un jeton d'accès (ou de sécurité) utilisé pour prendre de manière temporaire une autre identité n'est pas vérifié de manière correcte afin de déterminer si l'utilisateur est un administrateur.

Si cette vulnérabilité fait aujourd'hui parler d'elle, c'est parce que dans le cadre du Project Zero de Google, elle a droit à une divulgation publique - la publication des détails techniques - et ce alors qu'il n'existe pas de correctif. C'est ainsi une 0-day.

De manière confidentielle, Microsoft a été prévenu de ladite vulnérabilité le 30 septembre 2014. En vertu de la politique du Project Zero, la divulgation publique a eu lieu 90 jours plus tard. Pour James Forshaw, une telle politique est jugée comme " optimale pour la sécurité de l'utilisateur ".

" Cela donne aux éditeurs de logiciels un laps de temps juste et raisonnable pour leur procédure de gestion des vulnérabilités, tout en respectant les droits des utilisateurs d'apprendre et comprendre les risques auxquels ils sont confrontés. "

La mise en pratique de cette politique des 90 jours n'est pas une première pour le Project Zero. Cela a par exemple déjà été le cas pour un bug d'échappement de sandbox dans Adobe Reader sur Windows. Un commentaire dans le rapport de bug estime que c'est " irresponsable ". Un vieux débat qui revient de temps en temps sur le devant de la scène.

De son côté, Microsoft a fait savoir qu'il travaille à la publication d'une mise à jour de sécurité pour corriger un problème d'élévation de privilèges et souligne que pour une exploitation, un attaquant doit d'abord obtenir des identifiants valides et se connecter en local sur une machine prise pour cible.