Windows 10 : Google Zero révèle une deuxième faille sans que Microsoft ait pu la patcher !

Maj. le 5 avril 2018 à 19 h 45 min

Windows 10 est encore dans le viseur de Google Zero. Le projet qui avait déjà révélé une première faille du navigateur Edge avant que Microsoft n’ait pu la patcher vient de révéler, dans les mêmes conditions, une nouvelle grosse vulnérabilité. Celle-ci permet une élévation des privilèges, permettant à une personne mal intentionnée d’obtenir des droits administrateurs avec un compte classique. La vulnérabilité implique un accès physique à la machine, ce qui a conduit les équipes de Microsoft à marquer la résolution du problème comme « importante » mais pas « critique ». 

windows 10 google zero

Google Project Zero vient de révéler une nouvelle faille de Windows 10 sans que Microsoft n’ait eu le temps de la patcher. Les chercheur en sécurité en sont à leur deuxième faille zero-day non patchée en moins d’une semaine. Il y a quelques jours, en effet, ils révélaient une grosse faille de sécurité dans Microsoft Edge. La faille permettait à toute personne mal intentionnée d’exécuter du code arbitraire à partir d’une page web ; rendant possible la prise de contrôle total de l’ordinateur. Pour ces deux failles, Google Zero a respecté un délai de 90 jours entre le moment où les équipes de Microsoft ont été prévenues et leur résolution.

Windows 10 : Google Project Zero révèle une deuxième faille zero-day en moins d’une semaine

Dans les deux cas cela n’a pas suffi à Microsoft pour s’organiser. La faille dans Edge est en fait liée à un problème de conception, et nécessite « un travail significatif » selon la firme qui pense néanmoins pouvoir adresser un correctif lors du patch tuesday de mars. La nouvelle vulnérabilité permet de son côté une élévation des privilèges  – pour simplifier cela permet d’obtenir des droits administrateur sur une machine depuis un compte limité. Dans le détail, il s’agit d’un bug dans l’appel de procédure distant SvcMoveFileInheritSecurity qui permet de changer les permissions des fichiers pour les rendre accessible à tous les comptes de la machine.

La faille était censée être corrigée, mais Google a démontré, code à l’appui, qu’il était encore possible de créer un fichier accessible à tous les comptes dans le répertoire Windows depuis un compte aux permissions pourtant limitées. Cette nouvelle faille qui requiert un accès physique à la machine, n’est pas considérée comme critique par Microsoft. Du reste, elle est désormais bien documentée, et il ne semble pas vraiment possible de se protéger en attendant le correctif. Google Project Zero a déjà mis plusieurs fois Microsoft à l’amende en révélant des failles de sécurité.

En fait selon une source citée par The Verge, les failles de Windows sont la raison d’être de Google Project Zero. Le groupe de chercheurs en sécurité aurait été créé de manière informelle en 2009 après un piratage majeur de Google liée à une vulnérabilité zero-day dans Microsoft Internet Explorer 6. Outre le délai de 90 jours, Google Zero donne dans certains cas des délais gracieux supplémentaires. Un privilège dont Microsoft semble rarement profiter. Pensez-vous que c’est la bonne méthode pour pousser Microsoft à s’occuper de ses failles de sécurité ? Les chercheurs du Google Project Zero devraient-ils être plus souples ? Partagez votre opinion dans les commentaires !

Réagissez à cet article !
  • Marc91

    Microsoft corrige ses failles tous les premiers mardis de chaque mois…ce n’est pas le cas de tout le monde. Je n’aime pas la méthode qui est loin de démontrer une volonté de travailler en bonne intelligence avec Microsoft, l’ennemi juré de Google.
    La sécurité concerne tout le monde et devrait être traitée en mettant de côté ses rancœurs…

  • Anthorama

    Y a un moment donné ou on peut se demander pour qui ils se prennent à essayer de trouver des failles, les trouver, puis les lancer dans la nature en prévenant tout le monde ?

    • Enollia

      sauf qu’avant d’être dévoiler sur internet c’est faille sont envoyer aux responsable des logiciel plusieurs mois avant, elles ne sont mise sur internet que dans ces même responsable ne font pas le nécessaire…

      • Marc91

        Mais bien sûr….je crois que vous n’avez aucune idée des processus de correction pour sortir une telle affirmation totalement fausse.

        • Mark LeGrand

          Enfaîte elle dit vrai…Google donne toujours 90 jours a Microsoft pour corriger les failles avant de les publier!

          • Enollia

            Merci @mark_legrand:disqus
            @Marc91 peut être devriez vous vous même vous renseigniez avant de prendre les gens de haut …

      • Anthorama

        J’ai bien compris le principe mais si ils en dévoient plusieurs par semaines a des niveaux si elevé y’a un souci

  • Mark LeGrand

    Microsoft en lui même est une faille…alors pour Windows, Edge et autres ne parle même pas!

    • DarkSamS

      Donc notre monde est une faille… Que tu le veuilles ou non Microsoft domine le marché informatique que ce soit public ou professionnelle…

    • Marc91

      Joli troll, mais carrément bidon.

  • alexandre

    c’est débile leurs truc de failles sans arrêt.
    faut arrêter qui risque quelques choses en tant que particulier?
    au pire y’a des assurances banques etc.
    puis de toutes façon y’aura toujours failles sur failles car rien n’est infaillible.
    aujourd’hui quand quelques choses marche hyper bien faut qu’on viennent nous casser les couilles.
    c’est comme notre gouvernement.
    on paye des gens a nous faire chier alors que tout va bien et on empêche les gens de travailler.
    combien de fois quand je travailler comme agent entretient en ehpad,des société divers pour voir si tel ou tel truc était conforme, le pire c’est qu’on doit payer pour nous emmerder, incroyable non?
    toujours sur le dos de la SÉCURITÉ, CONFORMITÉ, HYGIÈNE, et j’en passe.
    et les cuisines qu’es ce qu’on a pus les emmerder pour des normes a la con.
    la france va mourir si on continu avec tout ce merdier a la con inutile.
    ceux qui me font chier avec l’orthographe et la ponctuation je suis pas prof hein.
    je ne fait pas de langage sms alors si ça plait pas bien on lit pas.

    merci

  • Quentin Dutilleul

    Faut être intransigent avec les failles de sécurité, Microsoft le savait, 90j c’est raisonnable, ils peuvent sortir un patch avant le patch thuesday.

    • Marc91

      Ils sont corrigés en fonction de leur sévérité. Toutes les failles soit disant découvertes par Project Zéro ne sont pas toutes considérées comme critiques. Maintenant, juste pour remettre les choses en perspective, regardez combien de correctifs sont fournis chaque mois dans le patch Tuesday, et combien GPZ en «  dévoile »….Bref, 99,99% des failles sont découvertes par Microsoft, pas par GPZ. Et je ne parle pas de celles découvertes sur les produits Google…

  • DarkSamS

    Ils feraient bien de se la fermer… et de s’occuper de leurs bugs sur Android… sérieusement qu’est-ce qu’ils croivent ??? Que leur Chromebook ait moins de faille que Windows ??? Ah oui… vu leur part de marcher ça m’étonne pas mdr

    • Jérôme Baillon

      Croient*

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !