Google vient de lever le voile sur des failles de sécurité dites « 0-day », c’est-à-dire que ces vulnérabilités étaient jusqu’à présent inconnues du grand public. Elles concernent directement les sociétés Adobe et Microsoft, qui avaient été averties directement par Google le 21 octobre dernier.
L’une d’entre elles concernant Flash est corrigée par une mise à jour diffusée par Adobe le 26 octobre dernier. Ce patch est disponible via l’outil de mise à jour signé de l’éditeur ou bien automatiquement via le navigateur Chrome.
Celle qui concerne Windows n’a pour l’heure fait l’objet d’aucun correctif de la part de la firme de Redmond. Google de préciser que Microsoft n’a par ailleurs diffusé aucune guideline concernant cette faille de sécurité jugée « particulièrement sérieuse » par Google, puisqu’elle aurait d’ores et déjà été activement exploitée, selon le groupe Internet.
Cela signifie que des hackers ont déjà écrit du code malicieux pour tirer partie de ce trou laissé béant dans Windows par Microsoft.
Localisée dans le kernel de Windows, la faille peut être déclenchée via le système win32.sys. Google invite les utilisateurs de Windows à appliquer les patches idoines signés Microsoft « dès qu’ils seront disponibles ». La vulnérabilité de Windows s’appuierait sur un mécanisme dit d’élévation des privilèges, permettant aux pirates d’acquérir tous les droits sur le système d’exploitation Windows de la machine ciblée.
S’il y a vraisemblablement urgence pour combler cette faille, on peut légitimement se demander s’il y avait urgence à dévoiler publiquement le pot aux roses avec moult détails.
De l’avis général des chercheurs en sécurité, une faille ne doit être détaillée que lorsqu’un patch est disponible.
Ce n’est toutefois pas la première fois que Google dévoile des failles attenantes à Windows avant même la publication de patches. La firme de Mountain View l’avait fait deux fois en janvier 2015 pour Windows 8.1. À l’époque, les deux failles n’étaient alors pas exploitées activement avant la divulgation par Google.
Toutefois, la faille concernant Windows, telle qu’elle est décrite par Google, ne serait exploitable que de concert avec celle concernant Adobe Flash. Dans la mesure où cette dernière bénéficie d’un correctif, il est donc impérieux de procéder à la mise jour idoine de Flash.
(Crédit photo : Mopic – Shutterstock.com)
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…