Windows 10 : une nouvelle faille zero day repérée

Le par  |  42 commentaire(s)
Windows 10

Une nouvelle faille zero day a été repérée au sein de Windows 10 qui fait écho à celles pourtant corrigées en avril dernier par Microsoft.

En avril dernier, Microsoft déployait un patch permettant de corriger deux failles zero day mais il semblerait que l'on puisse malgré tout exploiter certaines failles pour contourner les correctifs mis en place.

zero-day

C'est la chercheuse en sécurité SandboxEscaper qui met en avant la faille localisée dans le service Windows Appx Deployment et évoque le scénario d'une nouvelle attaque baptisée ByeBear. L'attaque permettrait ainsi de contourner les mesures déployées par Microsoft en avril pour colmater la faille CVE-2019-0841.

  

Une vidéo démontre ainsi la présence de la faille et son exploitation... Mais aucune publication n'a pas encore eu lieu puisque la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement...

Complément d'information

Vos commentaires Page 1 / 5

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2066922
"la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement..."
Ça je trouve que c'est une bonne idée. Au moins ça permet de rentabiliser le temps passé et, accessoirement, de faire réagir les éditeurs, voire de les faire payer pour divulguer où est le problème.
Le #2066923
Et toutes les failles qui resteront inconnues...... !!!
Le #2066924
sansimportance a écrit :

"la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement..."
Ça je trouve que c'est une bonne idée. Au moins ça permet de rentabiliser le temps passé et, accessoirement, de faire réagir les éditeurs, voire de les faire payer pour divulguer où est le problème.


C'est un ''concept'' qui existe déjà.
Le #2066927
sansimportance a écrit :

"la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement..."
Ça je trouve que c'est une bonne idée. Au moins ça permet de rentabiliser le temps passé et, accessoirement, de faire réagir les éditeurs, voire de les faire payer pour divulguer où est le problème.


C'est très mal de faire comme ça car cela met en danger les utilisateurs de Windows.
De plus se genre de méthodes peut forcer MS a rush le développement des maj pour combler le plus rapidement possible les failles et créer un risque d'instabilité.

La méthode de Google est largement mieux.
Le #2066932
RedShader a écrit :

sansimportance a écrit :

"la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement..."
Ça je trouve que c'est une bonne idée. Au moins ça permet de rentabiliser le temps passé et, accessoirement, de faire réagir les éditeurs, voire de les faire payer pour divulguer où est le problème.


C'est très mal de faire comme ça car cela met en danger les utilisateurs de Windows.
De plus se genre de méthodes peut forcer MS a rush le développement des maj pour combler le plus rapidement possible les failles et créer un risque d'instabilité.

La méthode de Google est largement mieux.


Tout à fait !!!

Après, si les devs de M$ se focalisaient un peu plus sur la sécu et moins sur les "nouvelles fonctionnalités" peu utiles, ils auraient peut-être des patchs plus efficaces...
Le #2066933
lebonga a écrit :

RedShader a écrit :

sansimportance a écrit :

"la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement..."
Ça je trouve que c'est une bonne idée. Au moins ça permet de rentabiliser le temps passé et, accessoirement, de faire réagir les éditeurs, voire de les faire payer pour divulguer où est le problème.


C'est très mal de faire comme ça car cela met en danger les utilisateurs de Windows.
De plus se genre de méthodes peut forcer MS a rush le développement des maj pour combler le plus rapidement possible les failles et créer un risque d'instabilité.

La méthode de Google est largement mieux.


Tout à fait !!!

Après, si les devs de M$ se focalisaient un peu plus sur la sécu et moins sur les "nouvelles fonctionnalités" peu utiles, ils auraient peut-être des patchs plus efficaces...


Parfois il faut patcher les patchs !!
Le #2066952
Hum, encore une baisse CPU de 5% minimum quand le total doit en être à 30% depuis 1 an (pour mon cas) pour la faille des CPU Intel?

Et microsoft ose dire que W7 est moins sûr que W10 et que c'est la raison pour laquelle il faut passer à Windaube 10?

Ha je ris, je ris.
Le #2066958
Narcos a écrit :

sansimportance a écrit :

"la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement..."
Ça je trouve que c'est une bonne idée. Au moins ça permet de rentabiliser le temps passé et, accessoirement, de faire réagir les éditeurs, voire de les faire payer pour divulguer où est le problème.


C'est un ''concept'' qui existe déjà.


Oui, même que ça s'appelle "bug bounty", mais c'est une démarche volontaire de la part d'un éditeur et tous ne le font pas. L'idée de la chercheuse de se faire rémunérer pour ses recherches lui permet de ne pas perdre son temps et "force" les éditeurs à réagir AVANT plutôt que d'attendre qu'une faille soit exploitée !

Et puis je suis largement d'accord avec lebonga, les nouveautés ont s'en fout, qu'ils fassent des vraies maj de sécurités qui soient réellement testées et fiabilisées, et pas des patchs "à la petite semaine".
Le #2066969
sansimportance a écrit :

Narcos a écrit :

sansimportance a écrit :

"la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement..."
Ça je trouve que c'est une bonne idée. Au moins ça permet de rentabiliser le temps passé et, accessoirement, de faire réagir les éditeurs, voire de les faire payer pour divulguer où est le problème.


C'est un ''concept'' qui existe déjà.


Oui, même que ça s'appelle "bug bounty", mais c'est une démarche volontaire de la part d'un éditeur et tous ne le font pas. L'idée de la chercheuse de se faire rémunérer pour ses recherches lui permet de ne pas perdre son temps et "force" les éditeurs à réagir AVANT plutôt que d'attendre qu'une faille soit exploitée !

Et puis je suis largement d'accord avec lebonga, les nouveautés ont s'en fout, qu'ils fassent des vraies maj de sécurités qui soient réellement testées et fiabilisées, et pas des patchs "à la petite semaine".


Hummm...tu veux dire pousser les éditeurs à plutot etre pro-actif que réactifs. Oui, c'est du bon sens.

En plus des GAFAM, The Internet Bug Bounty, dans les logiciels couverts par ce programme, on trouve Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, et Phabricator. De plus, le programme offre des récompenses pour les exploits concernant les systèmes d'exploitation et les navigateurs fréquemment utilisés. Je trouve cela déjà très honorable.

Et nous sommes TOUS d'accord avec Lebonga.
Le #2066991
"...la chercheuse indique désormais souhaiter vendre la découverte de ses failles plutôt que les partager gratuitement..."

Vendre a qui ?
Si c'est Microsoft d'accord mais si c'est vendre au plus offrant hum hum
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme