La révélation par Google en début de semaine d’une importante vulnérabilité liée à Windows suscite la grogne chez Microsoft.
Par l’entremise de son blogue dédié à la sécurité, Google a publiquement dévoilé lundi l’existence d’une faille – CVE-2016-7855 – permettant à ceux qui l’exploitent d’échapper à des mesures de sécurité de Windows via le composant win32k.sys, présent dans le système d’exploitation de Microsoft depuis Windows XP. Cette faille ouvre ainsi la porte à de potentiels pirates pour accéder à d’autres fonctions attachées à Windows, et bien entendu de les modifier à leur guise.
«Nous croyons en la divulgation coordonnée des vulnérabilités, et la divulgation faite aujourd’hui par Google met les clients potentiellement à risque.»
Google a choisi de partager publiquement l’information 10 jours après en avoir informé Microsoft pour la simple et bonne raison que la vulnérabilité en question serait déjà activement exploitée par des pirates.
Alors que le géant de la recherche à comme politique de laisser 60 jours à un éditeur de logiciels pour corriger une vulnérabilité découverte par son équipe de sécurité, ce délai est réduit à 7 jours lorsque la faille en question menace déjà une large partie des utilisateurs.
Un délai manifestement trop serré aux yeux du principal intéressé.
«Nous croyons en la divulgation coordonnée des vulnérabilités, et la divulgation faite aujourd’hui par Google met les clients potentiellement à risque», a déclaré un porte-parole de Microsoft au blogue VentureBeat. «Windows est la seule plateforme avec un engagement envers les clients d’enquêter sur les problèmes de sécurité signalés et de mettre à jour de façon proactive les appareils touchés dès que possible. Nous recommandons à nos clients d’utiliser Windows 10 et le navigateur Microsoft Edge pour bénéficier de la meilleure protection.»
À noter toutefois que la faille en question repose également sur une version désuète du module Flash. Adobe a été informé du problème au même moment que Microsoft, et un correctif a déjà été déployé le 26 octobre dernier par le biais d’une mise à jour. Chrome étant pourvu de la mise à jour automatique de cette composante, les utilisateurs de Chrome sous Windows qui n’ont pas modifié ce paramètre par défaut sont ainsi déjà protégés.
«Nous encourageons les utilisateurs à vérifier que leurs systèmes de mises à jour automatiques ont déjà mis à jour Flash – et de le mettre à jour manuellement si ce n’est pas le cas – et à appliquer les correctifs Windows de Microsoft lorsqu’ils seront déployés [afin d'éradiquer cette] vulnérabilité de Windows», a conclu Google.
Bien que Google ne fournit qu’une description générale de la faille observée, l’information dévoilée est plus que suffisante pour permettre à un attaquant de comprendre la faille, et de partir à la recherche des PC dont le module Flash est désuet afin de les exploiter.