Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Google révèle une troisième vulnérabilité 0day non corrigée dans windows

16 Janvier 2015 , Rédigé par nicko Publié dans #informatique

Microsoft a fortement critiqué Google après que la firme a révélé publiquement deux vulnérabilités zéro-day dans le système d'exploitation Windows 8.1 quelques jours avant la sortie d'un correctif que Microsoft a prévu de publier pour stopper les bugs. Mais, apparemment Google n'a pas l'air de s’en préoccuper.

Google révèle une troisième vulnérabilité 0day non corrigée dans windows

Une fois de plus, Google a rendu publique une nouvelle vulnérabilité sérieuse dans Windows 7 et Windows 8.1 avant que Microsoft soit en mesure de produire un patch, laissant les utilisateurs des deux systèmes d'exploitation exposées aux pirates jusqu'au mois prochain, lorsque la société prévoit de livrer un correctif.

DIVULGATION DE BUGS non patchées, quoi en penser?

La politique de Google de 90 jours avant la divulgation semble être une bonne chose pour tous les fournisseurs de logiciels pour corriger leurs produits avant qu'ils ne soient exploitées par les pirates et les cybercriminels. Mais en même temps, divulguer tous les bogues critiques avec ses détails techniques dans le système d'exploitation largement utilisé comme Windows 7 et 8 ne semble pas être une bonne décision en soit. Dans les deux cas, les seul à subir sont les utilisateurs innocent.

La révélation de la faille de sécurité faisait également partie du Project Zero de Google , une initiative qui identifie les failles de sécurité dans différent logiciel et appelle les entreprises à divulguer et corrigé publiquement les bogues 90 jours après leur découverte.

Chris Betz, directeur du Microsoft Security Response Center, a écrit que le mouvement de Google "ressemble moins a un principe mais plus comme une« chasse aux sorcières », ce sont les clients qui peuvent en pâtir." Il poursuit: «Ce qui est bon pour Google n'est pas toujours une bonne chose pour les clients. Nous demandons instamment à Google que la protection des clients soit le principal objectif collectif."

Cette fois, le géant des moteurs de recherche a découvert une faille dans la fonction de mémoire de cryptage CryptProtectMemory trouvés dans Windows 7 et 8.1 présente à la fois dans les architectures 32 et 64 bits, qui peuvent accidentellement divulguer des informations sensibles ou permettre à une personne malveillante de contourner les contrôles de sécurité.

MICROSOFT DÉLIVRERA LE PATCH en février 2015

Google a d'abord notifié à Microsoft de la vulnérabilité dans Windows 7 et 8.1 le 17 octobre 2014. Microsoft a alors confirmé les publications sur la sécurité le 29 octobre et a dit que ses développeurs ont réussi à reproduire la brèche de sécurité. Le patch concernant cette vulnérabilité est prévue pour le 10 février

La vulnérabilité a été trouvée par James Forshaw, qui a également découvert une faille " d'élévation de privilèges "dans Windows 8.1, qui a été révélé plus tôt cette semaine et a attiré de vives critiques de la part de Microsoft. Le bug récemment découvert réside en fait dans la mise en œuvre de CNG.sys, qui n'a pas réussi à exécuter des vérifications symboliques appropriés.

"La question est la mise en œuvre dans CNG.sys qui ne vérifie pas le niveau du jeton d'emprunt d'identité lors de la capture de l'ID de session de connexion (en utilisant SeQueryAuthenticationIdToken) un utilisateur normal peut passer le niveau d'identification et décrypter ou crypter les données pour cette session d'ouverture de session», a dit James Forshaw dans le poste divulguant la vulnérabilité.
"Ce comportement pourrait faire partie de la conception, mais, n'ayant pas participé à la conception, cela est difficile à dire."

C'est la troisième fois en moins d'un mois que Project Zero de Google dévoile les détails de vulnérabilité dans le système d'exploitation de Microsoft, suivant sa politique de délai de 90-jours avant divulgation publique . Il ya quelques jours, Google a dévoilé les détails d'un nouveau bug d'élévation de privilèges dans le système d'exploitation Windows 8.1 de Microsoft seulement deux jours avant que Microsoft est prévu la correction du bug.

Source: ThehackerNews

Partager cet article

Repost 0

Commenter cet article

call center 26/01/2015 05:08

Il existe un scanner de vulnérabilité qui dispose d’un module proposant de détecter les vulnérabilités 0-day. Entièrement développé en France, Ikare est fourni en module complémentaire ou add-on et intègre essentiellement les informations décisionnelles concernant les vulnérabilités 0-day ainsi que toutes les menaces en général.