Windows 10 : Google dévoile une faille de sécurité non comblée par Microsoft
Google a dévoilé publiquement une faille de sécurité critique dans Windows, alors que Microsoft n’a pas encore diffusé de patch correctif.
Google vient de lever le voile sur des failles de sécurité dites « 0-day », c’est-à-dire que ces vulnérabilités étaient jusqu’à présent inconnues du grand public. Elles concernent directement les sociétés Adobe et Microsoft, qui avaient été averties directement par Google le 21 octobre dernier.
L’une d’entre elles concernant Flash est corrigée par une mise à jour diffusée par Adobe le 26 octobre dernier. Ce patch est disponible via l’outil de mise à jour signé de l’éditeur ou bien automatiquement via le navigateur Chrome.
Celle qui concerne Windows n’a pour l’heure fait l’objet d’aucun correctif de la part de la firme de Redmond. Google de préciser que Microsoft n’a par ailleurs diffusé aucune guideline concernant cette faille de sécurité jugée « particulièrement sérieuse » par Google, puisqu’elle aurait d’ores et déjà été activement exploitée, selon le groupe Internet.
Cela signifie que des hackers ont déjà écrit du code malicieux pour tirer partie de ce trou laissé béant dans Windows par Microsoft.
Localisée dans le kernel de Windows, la faille peut être déclenchée via le système win32.sys. Google invite les utilisateurs de Windows à appliquer les patches idoines signés Microsoft « dès qu’ils seront disponibles ». La vulnérabilité de Windows s’appuierait sur un mécanisme dit d’élévation des privilèges, permettant aux pirates d’acquérir tous les droits sur le système d’exploitation Windows de la machine ciblée.
S’il y a vraisemblablement urgence pour combler cette faille, on peut légitimement se demander s’il y avait urgence à dévoiler publiquement le pot aux roses avec moult détails.
De l’avis général des chercheurs en sécurité, une faille ne doit être détaillée que lorsqu’un patch est disponible.
Ce n’est toutefois pas la première fois que Google dévoile des failles attenantes à Windows avant même la publication de patches. La firme de Mountain View l’avait fait deux fois en janvier 2015 pour Windows 8.1. À l’époque, les deux failles n’étaient alors pas exploitées activement avant la divulgation par Google.
Toutefois, la faille concernant Windows, telle qu’elle est décrite par Google, ne serait exploitable que de concert avec celle concernant Adobe Flash. Dans la mesure où cette dernière bénéficie d’un correctif, il est donc impérieux de procéder à la mise jour idoine de Flash.
(Crédit photo : Mopic – Shutterstock.com)