Windows

Windows, Google dévoile une nouvelle vulnérabilité non corrigée

Les utilisateurs du système d’exploitation Windows sont une nouvelle fois exposés à des risques de sécurité. Un ingénieur de projet « Google Zero » révèle une faille de sécurité connue de Microsoft mais non corrigée.

Windows Update
Service Windows Update de Microsoft

Windows, une faille connue depuis une année mais non corrigée

Mateusz Jurczyk met en lumière une défaillance de Windows en matière de sécurité informatique. L’OS souffre d’une vulnérabilité. Elle touche le composant « gdi32.dll ». Le problème est d’importance puisqu’une personne à la possibilité de compromettre le système. Le problème a été signalé à Microsoft il y a presque une année (mars 2016) cependant l’affaire n’est pas résolue.

Le géant du logiciel a reconnu la defaillance. Le déploiement du correctif MS16-074 en juin 2016 a tenté d’apporter une solution cependant selon Mateusz Jurczyk, il n’est pas suffisant. La vulnérabilité serait toujours là permettant l’extraction de données d’une machine au travers du navigateur Internet Explorer ou d’autres clients GDI.

Microsoft a de nouveau été informé de la situation en novembre 2016 cependant, rien n’a été fait. Ceci explique le choix de l’ingénieur de divulguer au grand jour cette faille. Il ne s’agit pas d’une position personnelle mais simplement l’application de la politique du projet « Google Zero ». Elle stipule que si dans les 90 jours après la première notification d’un problème de sécurité, l’entreprise derrière l’application concernée ne fait rien, l’ensemble des détails est rendu public.

Microsoft reste silencieux

Microsoft ne s’est pas exprimé au sujet de cette affaire. Le fait que cette faille soit désormais public, expose l’ensemble des utilisateurs Windows. Microsoft est donc « forcé » de réagir. Il est possible que le prochain Patch Tuesday s’accompagne d’une solution définitive et viable.

Le bon côté de la chose touche à la nature de cette faille. Bien que dangereuse, elle reste difficile à exploiter puisque le déploiement d’un fichier EMF spécialement conçu est nécessaire sur le PC visé.

Ce n’est pas la première fois que Google publie des détails autour de certaines défaillances de Windows. La dernière communication date de novembre 2016. Microsoft n’est pas resté insensible à la démarche. A l’époque Redmond avait critiqué Google en soulignant que la firme avait volontairement exposé l’ensemble des utilisateurs Windows à des “risques accrus.”

Terry Myerson, vice-président exécutif de la branche Windows avait souligné

«La décision de Google de divulguer ces vulnérabilités avant l’arrivée de correctifs expose les clients à des risques accrus ».

Jerome G

Issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page