Le 29 décembre puis le 11 janvier, le Project Zero de Google a publié les détails techniques de deux vulnérabilités d'élévation de privilèges affectant le système d'exploitation Windows. La correction de Microsoft est intervenue le 13 janvier dans le cadre du Patch Tuesday de janvier 2015.
Microsoft a eu d'autant plus de mal à accepter la démarche de Google que pour la deuxième vulnérabilité, sa demande d'attendre seulement deux jours avant la divulgation publique avait été refusée.
Le Project Zero demeure inflexible et après une notification à l'éditeur, la divulgation publique a lieu 90 jours plus tard, quoi qu'il en soit. Au risque d'énerver encore plus Microsoft, une nouvelle démonstration vient d'avoir lieu.
Google récidive et a publié jeudi une preuve de concept concernant une vulnérabilité affectant Windows 7 et 8.1. Un bug concerne la fonction CryptProtectMemory pour le chiffrement de la mémoire. Elle peut par exemple être utilisée pour chiffrer la mémoire contenant un mot de passe.
Microsoft a été prévenu le 17 octobre et a confirmé le 29 octobre un problème pouvant constituer un contournement d'une fonctionnalité de sécurité. Un correctif était initialement prévu pour le Patch Tuesday de mardi dernier mais il a été reporté en raison de soucis de compatibilité. Un patch est donc attendu pour la fournée de février prochain.
Chacun semble devoir camper sur ses positions. Google pour informer les utilisateurs et pousser les éditeurs à corriger plus vite, alors que Microsoft considère que ces divulgations publiques mettent une pression inutile et sont contre-productives en mettant en danger les utilisateurs.
Rappelons que Google vient aussi de se faire tacler en refusant de corriger une vulnérabilité dans WebView pour cause de fin de support des anciennes versions de ce composant du système d'exploitation mobile Android pour l'affichage des pages Web. Les terminaux pré-KitKat sont concernés. Ils seraient ainsi plus de 930 millions.
