Google divulgue une 0day dans Windows exploitée dans des attaques

Le par Jérôme G.  |  5 commentaire(s)
windows-securite

Project Zero de Google récidive en divulguant une vulnérabilité 0day exploitée dans Windows et pour laquelle le correctif attendra le prochain Patch Tuesday. Elle est associée à une faille (corrigée) dans Chrome.

Le 20 octobre, Google a publié une mise à jour de son navigateur Chrome proposant la correction de cinq vulnérabilités de sécurité. Référencée CVE-2020-15999, une vulnérabilité de type dépassement de tampon était en rapport avec la bibliothèque logicielle FreeType pour les polices de caractères.

Lors de la publication, Google avait évoqué des rapports au sujet d'un exploit dans la nature pour la vulnérabilité CVE-2020-15999. Désormais, Google divulgue une vulnérabilité 0day référencée CVE-2020-17087 affectant... Windows et en lien avec son utilisation de fonctions cryptographiques (le Kernel Cryptography Driver ; cng.sys).

Lorsqu'elles sont associées, les deux vulnérabilités CVE-2020-15999 et CVE-2020-17087 permettent l'exécution de code malveillant dans Chrome et un échappement de la sandbox du navigateur à la suite d'une élévation de privilèges.

securite

Les hackers d'élite de Project Zero intransigeants

La divulgation de la vulnérabilité 0day dans Windows a lieu sous l'égide de Project Zero de Google. " Nous avons la preuve que le bug est utilisé dans la nature. Par conséquent, ce bug est soumis à un délai de divulgation de 7 jours. " Un délai qui a donc expiré, alors que Microsoft avait été prévenu en amont.

Microsoft devrait corriger la vulnérabilité le 10 novembre prochain, dans le cadre de son Update Tuesday (officieusement Patch Tuesday) du mois de novembre. Google précise que l'exploitation n'est pas en rapport avec les élections américaines.

Ce n'est pas la première fois que Project Zero de Google met ainsi la pression sur Microsoft qui ne devrait guère apprécier une fois de plus. En fonction de l'urgence, Microsoft peut faire exception à son Patch Tuesday en mettant à disposition un correctif hors de ce cadre.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
FRANCKYIV offline Hors ligne VIP icone 54489 points
Premium
Le #2112186

Ce n'est pas la première fois que
Project Zero de Google met ainsi
la pression sur Microsoft



Pression à Microsoft .... et SURTOUT la pression aux millions d'utilisateurs de Windows.
Anonyme
Le #2112188
FRANCKYIV a écrit :


Ce n'est pas la première fois que
Project Zero de Google met ainsi
la pression sur Microsoft



Pression à Microsoft .... et SURTOUT la pression aux millions d'utilisateurs de Windows.


ppffff, même pas peur
FRANCKYIV offline Hors ligne VIP icone 54489 points
Premium
Le #2112189
sansimportance a écrit :

FRANCKYIV a écrit :


Ce n'est pas la première fois que
Project Zero de Google met ainsi
la pression sur Microsoft



Pression à Microsoft .... et SURTOUT la pression aux millions d'utilisateurs de Windows.


ppffff, même pas peur



Yves6 offline Hors ligne Vétéran icone 2349 points
Le #2112195
https://www.debian.org/security/2020/

Pourquoi personne en parle ?
graveen away Absent VIP icone 7406 points
Le #2112230
Yves6 a écrit :

https://www.debian.org/security/2020/

Pourquoi personne en parle ?


Parce que ca n'a absolument rien à voir ? Autant en termes de mode de fonctionnement que de personnes impactées ?

Parce que le coeur de l'article d'est Google qui met la pression sur une 0 day exploitée dans la nature ? Parce que Google pourrait même proposer directement un patch pour le noyau Linux s'ils avaient une faille de ce type sous la main ?
icone Suivre les commentaires
Poster un commentaire