Windows : Google divulgue une 0-day au plus mauvais moment

Le par  |  4 commentaire(s)
colere

Dans un contexte où le Patch Tuesday de février a été repoussé d'un mois, Project Zero de Google divulgue publiquement une vulnérabilité de sécurité affectant Windows. Un très mauvais timing.

L'équipe de hackers d'élite de Project Zero de Google a récidivé. Avec un exploit de type preuve de concept à l'appui, elle a publié les détails d'une vulnérabilité de sécurité affectant Windows et pour laquelle un correctif en bonne et due forme n'a pas été livré par Microsoft.

Microsoft-GoogleAffectant Windows Vista à Windows 10, cette faille est une resucée de bugs de sécurité corrigés en juin 2016 par Microsoft dans une mise à jour MS16-074. Sauf que la correction a été incomplète. Google a informé Microsoft de la vulnérabilité mi-novembre. Après un délai de 90 jours sans patch, celle-ci est désormais rendue publique.

Le problème est présent au niveau de la bibliothèque logicielle gdi32.dll (Graphics Device Interface). Ce composant graphique de Windows traite les objets en mémoire. Membre du Project Zero, Mateusz Jurczyk explique qu'il est possible de " divulguer des tas d'octets hors limites ou non initialisés via des couleurs de pixels, dans Internet Explorer et autres clients GDI permettant l'extraction de données d'image affichées à l'attaquant. "

En pratique, l'exploitation de la vulnérabilité permet à un attaquant de lire du contenu de la mémoire par le biais d'un fichier EMF spécialement conçu. Pour les données divulguées, tout dépend de l'endroit en mémoire où ce fichier EMF est exécuté.

La faille a pu être reproduite localement dans Internet Explorer, et à distance dans Office Online grâce à un document .docx contenant un fichier EMF piégé. Critique ? A priori pas. Quoi qu'il en soit, Microsoft a déjà critiqué par le passé les divulgations publiques de Google avant que des patchs ne soient " largement disponibles et testés ", faisant ainsi courir " un risque accru " aux utilisateurs.

Au plus mauvais moment

Cette divulgation publique intervient dans un contexte très particulier. En raison d'un problème de dernière minute, le Patch Tuesday de février de Microsoft a été repoussé. Tous les correctifs initialement prévus la semaine dernière seront dans le Patch Tuesday de mars. Le correctif pour la faille exposée par Google faisait peut-être partie du lot.

Rappelons que le report du Patch Tuesday de février fait qu'une vulnérabilité 0-day affectant le traitement du trafic SMB dans Windows et divulguée publiquement n'a pas pu être corrigée. De même, les dernières vulnérabilités corrigées dans Flash Player ne le sont pas avec Microsoft Edge (et IE11 pour Windows 10 et 8.1). Tout ceci contribue à augmenter momentanément la surface d'attaque pour Windows. Soulignons néanmoins que les exploitations peuvent être complexes.

Complément d'information
  • Windows 7 : une vulnérabilité de sécurité pérenne
    Avec une application pesant moins de 3 ko, des chercheurs en sécurité informatique ont réussi à prendre le contrôle de Windows 7. Un problème inhérent à la conception de l'OS mais dont le schéma d'exploitation n'inspire pas grande ...
  • Vulnérabilité de sécurité dans Windows Media Player
    Le célèbre lecteur multimédia de Microsoft est touché par une vulnérabilité de sécurité. Seule une preuve de concept a été publiée mais il est à craindre un exploit dans les prochains jours.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1953020
Ils ferais bien de s'occupé de leurs propres failles...
Le #1953021
drahus a écrit :

Ils ferais bien de s'occupé de leurs propres failles...


Ils le font. C'est bon pour tout le monde de révéler des failles et de faire pression pour qu'elles soient corrigées.
Le #1953066
//Mode troll on//

Peut être que Microsoft a reporter le Patch Tuesday d'un mois pour laisser à certaines organisations de profiter de certaines failles pour espionner certaines personnes ou certains gouvernements ou certaines entreprises?? Des organisations dont les acronymes on trois lettres et finissant en "A"

//Mode troll off//
Anonyme
Le #1953067
drahus a écrit :

Ils ferais bien de s'occupé de leurs propres failles...


Ils le font et ça se met à jour tous les mois.

Je suis patché au 5 février 2017 sous mon Android et le mois prochain également, ainsi de suite, tout les mois.

Bonne journée.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]