Un chercheur en sécurité chez Google a publié les détails d’une vulnérabilité encore non corrigée dans Windows 8.1, trois mois après avoir signalé le problème à Microsoft.

La sécurité chez Google s’entraîne sur la divulgation responsable, ce qui signifie que les vulnérabilités nouvellement découvertes sont communiquées en privé aux tenants du logiciel concerné. Il est alors donné une chance auxtenants de logiciels d’étudier la question et de publier un correctif pour résoudre le problème avant que la faille soit communiquée au grand public – pour aider a lutter contre les scénarios «zero-day» où une vulnérabilité généralisée qui devient de notoriété publique avant que les protections contre son exploitation puisse être mis en place.

Cette pratique n’a toutefois pas empêché à l’entreprise de connaître une vulnérabilité de la sécurité encore non résolue dans Windows 8.1 de Microsoft,. Une publication faite à la liste de diffusion de sécurité de la société est devenue publique le mois dernier, 90 jours après avoir été révélée confidentiellement à Microsoft – mais avant que la société ne sorte un correctif pour la faille. Relativement à la mise en cache des données de compatibilité des applications, la vulnérabilité permet au code arbitraire de s’exécuter avec des privilèges d’administrateur – un problème grave – sur les versions 32 bits et 64 bits du système d’exploitation.

Microsoft a confirmé la vulnérabilité, mais n’a pas indiqué pourquoi il n’a pas été corrigé depuis maintenant 3 mois après la notification du problème. «Nous travaillons pour sortir une mise à jour de sécurité pour répondre à un problème de élévation de privilège, la société a annoncé hier. «Il est important de noter qu’un attaquant pourrait potentiellement exploiter un système, mais ils devraient d’abord disposer d’informations d’identification valides et être en mesure de se connecter localement à une machine ciblée. Nous encourageons les clients à garder leur logiciel antivirus à jour, installez les mises à jour de sécurité disponibles et le pare-feu sur votre ordinateur. »

Pour répondre aux plaintes concernant la publication automatisée d’une vulnérabilité non corrigée, un membre de Project Zero , de l’équipe de sécurité de Google a expliqué que «dans l’ensemble, Project Zero croit que les délais de divulgation sont actuellement la meilleure approche pour la sécurité de l’utilisateur – elle permet aux éditeurs de logiciels une longueur juste et raisonnable de temps pour exercer leur processus de gestion de la vulnérabilité, tout en respectant les droits des utilisateurs et d’apprendre et de comprendre les risques auxquels ils sont confrontés. En enlevant la capacité d’un fournisseur de retenir les détails de questions de sécurité indéfiniment, nous donnons aux utilisateurs la possibilité de réagir à des vulnérabilités en temps opportun, et d’exercer leur pouvoir en tant que client de demander une réponse accélérée au fournisseur.

Les détails à propos de la vulnérabilité et une preuve peuvent être trouvés sur le groupe de recherche de sécurité de Google. Aucun correctif n’est encore disponible auprès de Microsoft.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

This post has no comments. Be the first to leave one!

Join the discussion

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Email