Vulnérabilité Windows : Google récidive... ça va clasher !

Le par  |  8 commentaire(s)
doigt-honneur-emoji

En dépit des critiques de Microsoft, Google persiste et respecte à la lettre la politique de son Project Zero. Des détails techniques d'une vulnérabilité affectant Windows 7 et 8.1 sont divulgués avant la disponibilité d'un correctif.

Le 29 décembre puis le 11 janvier, le Project Zero de Google a publié les détails techniques de deux vulnérabilités d'élévation de privilèges affectant le système d'exploitation Windows. La correction de Microsoft est intervenue le 13 janvier dans le cadre du Patch Tuesday de janvier 2015.

bugBien que non critiques, ces vulnérabilités sont restées pendant quelques jours non corrigées et à la portée de possibles attaquants (en local). La firme de Redmond n'a pas du tout apprécié et a critiqué la démarche de son concurrent Google.

Microsoft a eu d'autant plus de mal à accepter la démarche de Google que pour la deuxième vulnérabilité, sa demande d'attendre seulement deux jours avant la divulgation publique avait été refusée.

Le Project Zero demeure inflexible et après une notification à l'éditeur, la divulgation publique a lieu 90 jours plus tard, quoi qu'il en soit. Au risque d'énerver encore plus Microsoft, une nouvelle démonstration vient d'avoir lieu.

Google récidive et a publié jeudi une preuve de concept concernant une vulnérabilité affectant Windows 7 et 8.1. Un bug concerne la fonction CryptProtectMemory pour le chiffrement de la mémoire. Elle peut par exemple être utilisée pour chiffrer la mémoire contenant un mot de passe.

Microsoft a été prévenu le 17 octobre et a confirmé le 29 octobre un problème pouvant constituer un contournement d'une fonctionnalité de sécurité. Un correctif était initialement prévu pour le Patch Tuesday de mardi dernier mais il a été reporté en raison de soucis de compatibilité. Un patch est donc attendu pour la fournée de février prochain.

Chacun semble devoir camper sur ses positions. Google pour informer les utilisateurs et pousser les éditeurs à corriger plus vite, alors que Microsoft considère que ces divulgations publiques mettent une pression inutile et sont contre-productives en mettant en danger les utilisateurs.

Rappelons que Google vient aussi de se faire tacler en refusant de corriger une vulnérabilité dans WebView pour cause de fin de support des anciennes versions de ce composant du système d'exploitation mobile Android pour l'affichage des pages Web. Les terminaux pré-KitKat sont concernés. Ils seraient ainsi plus de 930 millions.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1829257



Project Zero : Google recrute des hackers d'élite pour protéger tous les utilisateurs



Ouai c'est clair qu'ils protègent un max d'utilisateurs la ...
Le #1829266
Concernant le dernier paragraphe, je souhaite que Microsoft retourne ça publiquement dans les dents de Google

Je ne suis ni pour l'un ni pour l'autre, mais ça me ferait juste marrer de voir la réaction de Google après

Aaaah... ces feuilletons américains, on ne s'en lasse jamais...
Le #1829278
bah m est avis que MS a pas trop interet a jouer a ca, parce que des vulnerabilites windows non publiees, google doit en avoir des camions bennes a sortir...

et la on aurait les preuves que windows, c est bien un gruyere.
Anonyme
Le #1829301
lepingouinenfolie a écrit :

bah m est avis que MS a pas trop interet a jouer a ca, parce que des vulnerabilites windows non publiees, google doit en avoir des camions bennes a sortir...

et la on aurait les preuves que windows, c est bien un gruyere.


Ça on le savait déjà depuis très très très longtemps et pas besoin de Google pour le prouver !!!
Le #1829315
Match Google vs Microsoft
Au premier qui met l'autre KO ....
Tous les coups sont permis
Le #1829333
1. C'est le job de MIcrosoft de "pilonner" son OS pour le corriger par la suite. Il a fallu que ce soit un concurrent qui lui mette le nez dans sa bouse pour qu'il réagisse et se décide à corriger en urgence

2. Je ne vois pas où est le mal de ce projet. Sous GNU/Linux, la recherche (et la correction) des failles se fait de manière intensive et permanente par une volée de développeurs/hackers. Raison pour laquelle cette plateforme est (et reste) un OS fiable.

3. De plus, les chercheurs du Projet Zero ont du mérite. Ils bossent sur un OS dont ils n'ont pas les sources (du moins complètement) alors que sous Linux, tout le code est ouvert. Balaises ces gars là...
Le #1829389
Ulysse2K a écrit :

1. C'est le job de MIcrosoft de "pilonner" son OS pour le corriger par la suite. Il a fallu que ce soit un concurrent qui lui mette le nez dans sa bouse pour qu'il réagisse et se décide à corriger en urgence

2. Je ne vois pas où est le mal de ce projet. Sous GNU/Linux, la recherche (et la correction) des failles se fait de manière intensive et permanente par une volée de développeurs/hackers. Raison pour laquelle cette plateforme est (et reste) un OS fiable.

3. De plus, les chercheurs du Projet Zero ont du mérite. Ils bossent sur un OS dont ils n'ont pas les sources (du moins complètement) alors que sous Linux, tout le code est ouvert. Balaises ces gars là...


1.
Insinuer que Microsoft ne fait pas sa job et que c'est grace à Google que les problèmes seront réglés, c'est faire preuve d'ignorance sur les processus maintenance des logiciels. Les bugs font parti du logiciel (qu'il soit open-source ou non) et sont gérés en conséquence: certains sont plus urgents que d'autres et les corrections peuvent avoir des répercussions majeures sur le reste du programme. Corriger un bug peut nécessiter des analyses d'impact longues et fastidieuses tout comme la correction proposée. La maintenance d'un système d'exploitation n'est pas une mince affaire (la norme ISO 12207 en a une belle et longue description... tout comme le modèle CMMi d'ailleurs).

2.
En soi, le projet est excellent. Là ou le bât blesse, c'est la publication bête et méchante des failles sans accepter de prendre en compte ce qui a été mentionné en 1). Microsoft a une gestion pour maintenir son logiciel qui prends en compte les entreprises et leurs besoins (Patch Tuesday). Et Google s'en câlisse. Mais c'était à prévoir: les dernières décisions prises par la compagnie sont définitivement hostiles.

Selon toi, l'intensité de la recherche de failles est un gage de qualité d'un OS? Alors si je suis ce raisonnement, Windows est fiable. Car s'il y a bien un OS qui est scruté à la loupe, c'est certainement l'OS qui est le plus populaire auprès de la population et qui attire les créateurs de virus. Si je me rappelle bien de la norme ISO 9126 traitant de la qualité logiciel, la recherche de faille n'est pas un critère de qualité.

Oui, Linux est fiable, mais pour d'autres raisons. Et Windows aussi est fiable.

3.
Ne pas avoir accès le code source est une situation naturelle pour un hacker. Les membres du Projet Zero ont du mérite parce que ce sont d'excellents hackers.

Avoir accès au code source ne permet pas à n'importe quel programmeur de trouver pleins de failles et cela ne rend pas un programme automatiquement plus fiable qu'un autre. Les dernières failles majeures trouvées dans du code open-source (OpenSSL, Bash en tête) ont déjà démontré ce point. Linux n'est pas plus fiable parce qu'il est open source. Il est fiable pour d'autres raisons.
Le #1830551
Déja que Google est une vulnérabilité en soi pour les utilisateurs. C'est inquiétant!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]