Les utilisateurs du système d’exploitation Windows sont une nouvelle fois exposés à des risques de sécurité. Un ingénieur de projet « Google Zero » révèle une faille de sécurité connue de Microsoft mais non corrigée.
Mateusz Jurczyk met en lumière une défaillance de Windows en matière de sécurité informatique. L’OS souffre d’une vulnérabilité. Elle touche le composant « gdi32.dll ». Le problème est d’importance puisqu’une personne à la possibilité de compromettre le système. Le problème a été signalé à Microsoft il y a presque une année (mars 2016) cependant l’affaire n’est pas résolue.
Le géant du logiciel a reconnu la defaillance. Le déploiement du correctif MS16-074 en juin 2016 a tenté d’apporter une solution cependant selon Mateusz Jurczyk, il n’est pas suffisant. La vulnérabilité serait toujours là permettant l’extraction de données d’une machine au travers du navigateur Internet Explorer ou d’autres clients GDI.
Microsoft a de nouveau été informé de la situation en novembre 2016 cependant, rien n’a été fait. Ceci explique le choix de l’ingénieur de divulguer au grand jour cette faille. Il ne s’agit pas d’une position personnelle mais simplement l’application de la politique du projet « Google Zero ». Elle stipule que si dans les 90 jours après la première notification d’un problème de sécurité, l’entreprise derrière l’application concernée ne fait rien, l’ensemble des détails est rendu public.
Microsoft ne s’est pas exprimé au sujet de cette affaire. Le fait que cette faille soit désormais public, expose l’ensemble des utilisateurs Windows. Microsoft est donc « forcé » de réagir. Il est possible que le prochain Patch Tuesday s’accompagne d’une solution définitive et viable.
Le bon côté de la chose touche à la nature de cette faille. Bien que dangereuse, elle reste difficile à exploiter puisque le déploiement d’un fichier EMF spécialement conçu est nécessaire sur le PC visé.
Ce n’est pas la première fois que Google publie des détails autour de certaines défaillances de Windows. La dernière communication date de novembre 2016. Microsoft n’est pas resté insensible à la démarche. A l’époque Redmond avait critiqué Google en soulignant que la firme avait volontairement exposé l’ensemble des utilisateurs Windows à des “risques accrus.”
Terry Myerson, vice-président exécutif de la branche Windows avait souligné
«La décision de Google de divulguer ces vulnérabilités avant l’arrivée de correctifs expose les clients à des risques accrus ».
La mise à jour cumulative Windows 11 KB5036980 n’ajoute pas seulement de la publicité. Certaines… Lire d'avantage
L’Epic Games Store offre cette semaine deux nouveaux jeux dont Industria. L’offre n’est pas à… Lire d'avantage
Men of War II a désormais une date de sortie et un prix. A l’occasion… Lire d'avantage
Dragon’s Dogma 2 est la cible d’une mise à jour. Elle se déploie automatiquement à… Lire d'avantage
Les pilotes graphiques Adrenalin 24.4.1 WHQL débarquent avec des optimisations Jour J, des améliorations de… Lire d'avantage
La RX 7900 XTX passe sous la barre des 850 $. Elle incarne aujourd’hui le… Lire d'avantage