Windows : Google dévoile une 0-day exploitée au grand dam de Microsoft

Le par  |  21 commentaire(s)
colere

Google a récidivé en divulguant une vulnérabilité 0-day affectant Windows. Exploitée dans des attaques, elle n'a actuellement pas de correctif. Microsoft critique l'initiative de Google mais attendra son Patch Tuesday habituel.

La semaine dernière, Adobe a publié en urgence une mise à jour de sécurité pour Flash Player afin de combler une vulnérabilité critique rapportée par des chercheurs en sécurité du Threat Analysis Group de Google. Faisant l'objet d'une exploitation dans des attaques en cours, cette faille avait été communiquée à Adobe le 21 octobre. L'éditeur a ainsi diffusé un patch cinq jours plus tard.

zero-dayCe même 21 octobre, Google avait prévenu Microsoft au sujet d'une vulnérabilité de type élévation de privilèges affectant le noyau Windows. Activement exploitée, elle peut être utilisée en tant que mesure de contournement d'une protection sandbox via des appels système win32k.sys, et pour exécuter du code sur une machine compromise.

En vertu de sa politique sur la divulgation de failles critiques, Google a attendu sept jours - après avoir prévenu Microsoft - pour publier des détails au sujet de la vulnérabilité dans le kernel Windows. Entre-temps, Microsoft n'a pas publié d'avis de sécurité, de mesures visant à atténuer les effets d'une exploitation, et a fortiori... pas de patch pour cette 0-day.

Alors que Google précise que la vulnérabilité est atténuée dans son navigateur Chrome sur Windows 10, Microsoft n'a pas du tout apprécié une telle divulgation publique. " Nous croyons en la divulgation coordonnée de vulnérabilité. La divulgation de Google pourrait mettre en danger les utilisateurs. " Ce n'est du reste pas la première fois que Microsoft critique ce genre d'initiative de Google.

Google donne 60 jours aux développeurs pour corriger une vulnérabilité critique découverte par ses chercheurs en sécurité. Comme dans le cas présent, ce délai est réduit à seulement sept jours si la vulnérabilité est activement exploitée. De quoi mettre la pression sur les éditeurs concernés. Manifestement, ce délai peut convenir à Adobe pour Flash Player, mais il est trop court pour élaborer un patch à destination de Windows (le contrôle qualité est par exemple plus complexe). Microsoft aurait cependant pu diffuser un avis de sécurité.

Si l'on peut comprendre l'énervement de Microsoft à l'égard de Google, cela revient à un vieux débat dans le domaine de la sécurité informatique qui n'a jamais été réellement tranché autour d'une divulgation dite responsable des failles. Quand il y a exploitation, faut-il taire une menace ?


Une exploitation par un groupe russe
Presque dans l'obligation de parler, Microsoft indique que son patch viendra le 8 novembre prochain pour Windows Vista à 10. Il n'y aura ainsi pas de publication hors-cycle ou en urgence. Ce sera le deuxième mardi du mois comme d'habitude.

La firme de Redmond explique que la faille dans le noyau Windows est exploitée dans des attaques ciblées - et pas pour l'utilisateur lambda - en association avec celle dans Flash Player pour d'abord prendre le contrôle du processus du navigateur. De fait, le patch d'Adobe doit permettre de contrecarrer des attaques.

Véhiculées par du phishing, les attaques sont attribuées à un groupe dénommé Strontium. Il est autrement connu en tant que APT28 et Fancy Bears. Ce groupe russe de cyberespionnage est notamment suspecté d'être impliqué dans le piratage du réseau informatique du Comité national démocrate américain.

Selon Microsoft, les utilisateurs de son navigateur Edge et de Windows 10 Anniversary Update n'étaient pas vulnérables aux attaques observées.

" La décision de Google de divulguer ces vulnérabilités avant que des patchs ne soient largement disponibles et testés est décevante, et fait courir un risque accru aux consommateurs ", écrit Terry Myerson, vice-président de Microsoft en charge de Windows et des appareils.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1930642
Stop rager Microsoft c'est dans la politique de Google de dévoiler une faille de sécurité au bout de 7 jours...


Puis bon Microsoft va pas criser non plus parce que cette partie la a était codé avec le c** !

Ils auraient pu dire merci, incroyable ! Dans quelle monde on vie !?


Peace.
Le #1930644
Adresse Web :
http://img.generation-nt.com/colere_0096006400053473.png

Rassurez moi ... vous avez trouvé cette image sur une banque de données libre de droit et gratuite ...
Le #1930645
Luxus a écrit :

Stop rager Microsoft c'est dans la politique de Google de dévoiler une faille de sécurité au bout de 7 jours...


Puis bon Microsoft va pas criser non plus parce que cette partie la a était codé avec le c** !

Ils auraient pu dire merci, incroyable ! Dans quelle monde on vie !?


Peace.


Clair, ils ont juste à sortir le patch plus tôt et le tour est joué...
Le #1930646
Luxus a écrit :

Stop rager Microsoft c'est dans la politique de Google de dévoiler une faille de sécurité au bout de 7 jours...


Puis bon Microsoft va pas criser non plus parce que cette partie la a était codé avec le c** !

Ils auraient pu dire merci, incroyable ! Dans quelle monde on vie !?


Peace.


Oui tu as raison ... merci de rendre vulnérables des millions d'ordinateurs ... nan franchement vous êtes trop cool les mecs ...

Ca doit être tellement facile de sortir un patch en 2 jours ...
Anonyme
Le #1930649
FRANCKYIV a écrit :

Luxus a écrit :

Stop rager Microsoft c'est dans la politique de Google de dévoiler une faille de sécurité au bout de 7 jours...


Puis bon Microsoft va pas criser non plus parce que cette partie la a était codé avec le c** !

Ils auraient pu dire merci, incroyable ! Dans quelle monde on vie !?


Peace.


Oui tu as raison ... merci de rendre vulnérables des millions d'ordinateurs ... nan franchement vous êtes trop cool les mecs ...

Ca doit être tellement facile de sortir un patch en 2 jours ...


Pas en deux, en sept...


Ils ne rendent rien du tout vulnérable, puisqu'elle est déjà utilisé activement, j'aurais pris ça comme ultimatum pour se bouger le c**, non les mecs de Microsoft préfèrent prendre le temps pour envoyé le patch :

" Une exploitation par un groupe russe
Presque dans l'obligation de parler, Microsoft indique que son patch viendra le 8 novembre prochain pour Windows Vista à 10. Il n'y aura ainsi pas de publication hors-cycle ou en urgence. Ce sera le deuxième mardi du mois comme d'habitude. "

" Il n'y aura ainsi pas de publication hors-cycle ou en urgence "

??! Qu'ils ne viennent pas beugler contre Google alors dans ce cas la, c'est que ce n'est pas trop grave dans ce cas la, sinon il l'aurait fait en urgence comme par le passé...

Tu as raisons la faute à Google si les mecs préfèrent prendre leur temps sur une faille béante comme cella la qui est utilisé activement qui plus est...

Merci Google de leur mettre un coup de pression, faudrait pas qu'ils se mettent tous à se reposer sur leurs lauriers les types !


Peace.
Le #1930652

Ils.ne rendent rien du tout vulnérable, puisqu'elle est déjà utilisé activement,



Oui c'est sûr.
Mais UNIQUEMENT par les gens qui maîtrisent.

La maintenant, plus besoin de maîtriser ... c'est rendu publique ...

Le premier script kiddie va s'éclater ...
Anonyme
Le #1930654
FRANCKYIV a écrit :


Ils.ne rendent rien du tout vulnérable, puisqu'elle est déjà utilisé activement,



Oui c'est sûr.
Mais UNIQUEMENT par les gens qui maîtrisent.

La maintenant, plus besoin de maîtriser ... c'est rendu publique ...

Le premier script kiddie va s'éclater ...


Non mais faut arrêter, qu'ils assument un peu et qu'il le fasse rentré " en urgence " si c'est si chaud que ça, pas de la faute de Google si il y a une faille de sécu.


Ça les poussera à se bouger le c** plus rapidement comme ça et ce n'est pas plus mal pour tous le monde, juste la dernière histoire des tables Atom ma bien fait rigoler. ( C'est de la faute aussi à Google ! )

" Il n'y aura ainsi pas de publication hors-cycle ou en urgence "

J'ai envie de leur dire, mais ferme ta geu** à Microsoft alors !!!

Tu es la tu critiques Google de l'ouvrir mais toi tu fais quoi pour corriger ce black hole de ouf ???

Tu précises à tous le monde que tu en as rien foutre ? Et comme un boulet la date à laquelle ça sera corrigé ?

Non mais allô c'est une blague ?

Je suis le seul à avoir l'impression que Microsoft est débile la ?


Peace.
Le #1930657

mais ferme ta geu** alors !!!



Peace quoi ...
Anonyme
Le #1930658
FRANCKYIV a écrit :


mais ferme ta geu** alors !!!



Peace quoi ...


Voilà peace quoi.
Le #1930668
Google est une boite qui donne la nausée. ! Dangereux et agressifs
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]