Faille Windows 10 dévoilée par Google

Google a dévoilé publiquement une faille de sécurité critique dans Windows, alors que Microsoft n’a pas encore diffusé de patch correctif.

Google met les pieds dans le plat, en rappelant aux éditeurs de logiciels l’importance de corriger rapidement les failles zero day. La firme vient ainsi de lever le voile sur une faille critique touchant le système d’exploitation Windows 10.

Cette vulnérabilité permet une escalade de privilèges, offrant ainsi à une tâche de s’exécuter avec des droits étendus. Une vulnérabilité qui permet de passer outre le bac à sable intégré à Chrome. Les développeurs de Google ont toutefois mis au point une parade à cette menace qui permettra d’empêcher son exploitation depuis leur butineur.

« Nous croyons en la divulgation coordonnée des vulnérabilités, et celle faite aujourd’hui par Google met les clients en potentiel danger », déclare toutefois un porte-parole de Microsoft, qui a peu apprécié que la faille soit dévoilée publiquement avant la diffusion de son correctif. Et la firme de Redmond de tacler son compatriote en expliquant que pour parer à tout problème, le couple Windows 10 + Edge est recommandé.

Microsoft moins rapide qu’Adobe

Google se borne pour sa part à expliquer qu’il avait averti Microsoft et Adobe de failles critiques présentes dans leurs logiciels le 21 octobre dernier. Ces derniers ont donc eu 10 jours pour mettre au point un correctif. Adobe a proposé un patch hier et il faudra attendre le Patch Tuesday de la semaine prochaine pour que la vulnérabilité soit corrigée sous Windows.

Microsoft se trompe ici d’ennemi. Si la divulgation coordonnée de vulnérabilités est la règle, elle ne s’applique pas en cas de faille zero day, qui est par essence en cours d’exploitation. Google ne fait donc qu’alerter les utilisateurs d’un risque auquel ils sont d’ores et déjà confrontés. De fait, les pirates de la Toile sont déjà au courant de l’existence de cette faille, et ont à leur disposition un exploit fonctionnel pour la mettre en œuvre.

Source