Membres de l'équipe Zero Day Initiative, trois chercheurs en sécurité de HP ont gagné 125 000 dollars en février dernier. Une somme - finalement reversée à des associations caritatives - déboursée par Microsoft dans le cadre de son programme Mitigation Bypass Bounty and BlueHat Bonus for Defense.
Mais surprise, Microsoft refuse de patcher… À quoi bon alors débourser 125 000 dollars ? Les chercheurs de HP ont eux décidé de passer à la divulgation publique. Ce ne sont pas des représailles au non-patch de Microsoft mais la politique habituelle de Zero Day Initiative après un certain laps de temps écoulé.
Pour justifier son non-patch, Microsoft avance notamment que les bugs n'affectent pas les systèmes 64 bits. Un point confirmé par les chercheurs de HP et cela parce qu'avec un système 64 bits, l'espace d'adressage est beaucoup plus grand qu'avec un système 32 bit, d'où une plus grande efficacité de l'ASLR.
Néanmoins, ils soulignent qu'un système 32 bits est encore la " configuration par défaut de millions de systèmes ". " Nous avons publié un code de preuve de concept afin de démontrer le contournement (ndlr : des mécanismes de protection) sur Windows 7 et Windows 8.1. "
" Chez Zero Day Initiative, nous avons traité des vulnérabilités et les réponses des éditeurs depuis presque dix ans. C'est pratiquement la première fois qu'un éditeur a décidé de ne pas corriger un problème alors que nous pensons qu'il devrait le faire "
, écrit Dustin Childs de HP.
Il n'y a pas si longtemps, l'homme était le responsable du groupe Microsoft Trustworthy Computing chez Microsoft. Selon lui, la preuve de concept va donner aux utilisateurs des informations afin de se défendre contre de potentielles attaques.
