Windows 10 : Google Zero révèle une deuxième faille sans que Microsoft ait pu la patcher !

 

Windows 10 est encore dans le viseur de Google Zero. Le projet qui avait déjà révélé une première faille du navigateur Edge avant que Microsoft n'ait pu la patcher vient de révéler, dans les mêmes conditions, une nouvelle grosse vulnérabilité. Celle-ci permet une élévation des privilèges, permettant à une personne mal intentionnée d'obtenir des droits administrateurs avec un compte classique. La vulnérabilité implique un accès physique à la machine, ce qui a conduit les équipes de Microsoft à marquer la résolution du problème comme “importante” mais pas “critique”. 

windows 10 google zero

Google Project Zero vient de révéler une nouvelle faille de Windows 10 sans que Microsoft n'ait eu le temps de la patcher. Les chercheur en sécurité en sont à leur deuxième faille zero-day non patchée en moins d'une semaine. Il y a quelques jours, en effet, ils révélaient une grosse faille de sécurité dans Microsoft Edge. La faille permettait à toute personne mal intentionnée d'exécuter du code arbitraire à partir d'une page web ; rendant possible la prise de contrôle total de l'ordinateur. Pour ces deux failles, Google Zero a respecté un délai de 90 jours entre le moment où les équipes de Microsoft ont été prévenues et leur résolution.

Windows 10 : Google Project Zero révèle une deuxième faille zero-day en moins d'une semaine

Dans les deux cas cela n'a pas suffi à Microsoft pour s'organiser. La faille dans Edge est en fait liée à un problème de conception, et nécessite “un travail significatif” selon la firme qui pense néanmoins pouvoir adresser un correctif lors du patch tuesday de mars. La nouvelle vulnérabilité permet de son côté une élévation des privilèges  – pour simplifier cela permet d'obtenir des droits administrateur sur une machine depuis un compte limité. Dans le détail, il s'agit d'un bug dans l'appel de procédure distant SvcMoveFileInheritSecurity qui permet de changer les permissions des fichiers pour les rendre accessible à tous les comptes de la machine.

La faille était censée être corrigée, mais Google a démontré, code à l'appui, qu'il était encore possible de créer un fichier accessible à tous les comptes dans le répertoire Windows depuis un compte aux permissions pourtant limitées. Cette nouvelle faille qui requiert un accès physique à la machine, n'est pas considérée comme critique par Microsoft. Du reste, elle est désormais bien documentée, et il ne semble pas vraiment possible de se protéger en attendant le correctif. Google Project Zero a déjà mis plusieurs fois Microsoft à l'amende en révélant des failles de sécurité.

En fait selon une source citée par The Verge, les failles de Windows sont la raison d'être de Google Project Zero. Le groupe de chercheurs en sécurité aurait été créé de manière informelle en 2009 après un piratage majeur de Google liée à une vulnérabilité zero-day dans Microsoft Internet Explorer 6. Outre le délai de 90 jours, Google Zero donne dans certains cas des délais gracieux supplémentaires. Un privilège dont Microsoft semble rarement profiter. Pensez-vous que c'est la bonne méthode pour pousser Microsoft à s'occuper de ses failles de sécurité ? Les chercheurs du Google Project Zero devraient-ils être plus souples ? Partagez votre opinion dans les commentaires !



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
Windows 10 dark interface
Windows 10 : le monde sombre promet d’être grandement amélioré

Windows 10 va recevoir une mise à jour d’ampleur en 2021, apportant une refonte totale du design. Le mode sombre, déjà présent sur l’OS, devrait aussi bénéficier d’un ravalement de façade, offrant des menus moins contrastés. Cette mise à jour…

EsEJpFLW4AUS2vB
Windows 10X fonctionne parfaitement sur la Surface Pro 7, la preuve en vidéo

Windows 10X a totalement fuité sur le net et peut être téléchargé par les utilisateurs. Nous avons vu le système d’exploitation installé sur différents terminaux, parfois étonnants, mais qu’en est-il de son utilisation réelle ? Aujourd’hui, un développeur nous montre…

windows 10x pc simple écran
Windows 10X tourne comme une horloge sur les Macs M1 et les vieux Nokia

Windows 10X peut fonctionner sur toutes sortes de machines. Les développeurs s’amusent en effet à l’installer sur plusieurs terminaux, et certains sont étonnants. On a par exemple pu voir Windows 10X tourner sur un smartphone Nokia Lumia, sur un MacBook…

microsoft onedrive
Windows 10 : la taille maximum des fichiers OneDrive passe à 250 Go

Microsoft relève la taille limite des fichiers téléversés sur OneDrive à 250 Go contre 100 Go jusqu’à présent. De quoi rendre le service plus utile aux créateurs et autres professionnels qui travaillent sur des projets volumineux.  Microsoft annonce dans un…