Google vient de lever le voile sur des failles de sécurité dites « 0-day », c’est-à-dire que ces vulnérabilités étaient jusqu’à présent inconnues du grand public. Elles concernent directement les sociétés Adobe et Microsoft, qui avaient été averties directement par Google le 21 octobre dernier.
L’une d’entre elles concernant Flash est corrigée par une mise à jour diffusée par Adobe le 26 octobre dernier. Ce patch est disponible via l’outil de mise à jour signé de l’éditeur ou bien automatiquement via le navigateur Chrome.
Celle qui concerne Windows n’a pour l’heure fait l’objet d’aucun correctif de la part de la firme de Redmond. Google de préciser que Microsoft n’a par ailleurs diffusé aucune guideline concernant cette faille de sécurité jugée « particulièrement sérieuse » par Google, puisqu’elle aurait d’ores et déjà été activement exploitée, selon le groupe Internet.
Cela signifie que des hackers ont déjà écrit du code malicieux pour tirer partie de ce trou laissé béant dans Windows par Microsoft.
Localisée dans le kernel de Windows, la faille peut être déclenchée via le système win32.sys. Google invite les utilisateurs de Windows à appliquer les patches idoines signés Microsoft « dès qu’ils seront disponibles ». La vulnérabilité de Windows s’appuierait sur un mécanisme dit d’élévation des privilèges, permettant aux pirates d’acquérir tous les droits sur le système d’exploitation Windows de la machine ciblée.
S’il y a vraisemblablement urgence pour combler cette faille, on peut légitimement se demander s’il y avait urgence à dévoiler publiquement le pot aux roses avec moult détails.
De l’avis général des chercheurs en sécurité, une faille ne doit être détaillée que lorsqu’un patch est disponible.
Ce n’est toutefois pas la première fois que Google dévoile des failles attenantes à Windows avant même la publication de patches. La firme de Mountain View l’avait fait deux fois en janvier 2015 pour Windows 8.1. À l’époque, les deux failles n’étaient alors pas exploitées activement avant la divulgation par Google.
Toutefois, la faille concernant Windows, telle qu’elle est décrite par Google, ne serait exploitable que de concert avec celle concernant Adobe Flash. Dans la mesure où cette dernière bénéficie d’un correctif, il est donc impérieux de procéder à la mise jour idoine de Flash.
(Crédit photo : Mopic – Shutterstock.com)
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…