Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Google révèle les détails d’une nouvelle faille dans Windows, avec prototype d’exploitation

Série noire

Google révèle les détails d'une nouvelle faille dans Windows, avec prototype d'exploitation

Le 27 février 2017 à 13h30

Google vient à nouveau de dévoiler les détails d’une faille de sécurité dans Windows. Comme les fois précédentes, le Project Zero en détaille le fonctionnement, Microsoft n’ayant pas réagi durant le délai de 90 jours. C’est la troisième fois depuis le début de février.

Le Project Zero de Google réunit un certain nombre d’employés de l’entreprise, dont la mission est de débusquer et signaler les failles aux éditeurs concernés. Le règlement, bien qu’assoupli il y a quelques mois, reste strict : une entreprise a 90 jours pour réagir à la remontée faite par Google, sans quoi les détails seront publiés, éventuellement accompagnés d’un prototype d’exploitation.

Troisième fois en moins d'un mois

Sur le seul début d’année 2017, le Project Zero a déjà publié deux fois les détails de brèches signalées à Microsoft, qui n’a pas réagi dans les temps. Il faut en ajouter une troisième : après SMB et la GDI, place à Internet Explorer 11 et Edge.

Les deux navigateurs sont touchés par une vulnérabilité (CVE-2017-0037) qui peut entrainer un plantage, ouvrant la voie à une potentielle attaque à distance, dont le résultat serait une élévation des privilèges. Le chercheur ayant découvert le problème, Ivan Fratric, parle de « confusion des types ». Une page web spécialement conçue (code spécifique dans les CSS et le JavaScript), pourrait aboutir à une exécution de code à distance.

La dangerosité de la faille n’est pas directement abordée, mais tout porte à croire qu’elle est élevée puisqu’il y aurait exécution d’instructions distantes, sans que l’utilisateur n’ait à valider quoi que ce soit. Et malheureusement pour Microsoft, les explications d’Ivan Fratric sont accompagnées d’un prototype d’exploitation.

Tous les utilisateurs sous Windows 7, 8.1 et 10

Microsoft n’a pour l’instant pas réagi à la publication de ces informations, mais le danger est concret. On ne sait pas si l’éditeur prépare un correctif ou l’a déjà, un problème technique ayant repoussé l’intégralité des bulletins de février à mars. Comme pour la faille précédente, la solution était peut-être prête, mais il faudra attendre dans tous les cas le 14 mars pour que les prochains pansements numériques soient appliqués.

Le danger est d’autant plus sérieux que durant cet intervalle, les pirates potentiellement intéressés par cette vulnérabilité disposent désormais de tous les détails et d’un code d’exploitation fonctionnel leur montrant la voie. En outre, toutes les versions 32 et 64 bits d’Internet Explorer 11 et Edge sont affectées. Autrement dit, tous les utilisateurs sous Windows 7, 8.1 et 10 sont touchés.

Le règlement est clair, mais...

Il est probable que Microsoft s’agace de cette situation, puisque c’est la troisième fois en moins de trois semaines que le Project Zero publie les détails de failles non-corrigées, donc 0-day. Cela étant, la politique de Google sur tout ce qui est trouvé par ce groupe est limpide. Dans le cas présent, la faille a été remontée à Microsoft le 25 novembre. Puisque aucun correctif n’était disponible le 25 février, la procédure a suivi son cours.

Il est probable que cette série de publications relance le débat sur la manière dont les failles sont divulguées aux éditeurs. Pour Microsoft, elle doit être systématiquement « responsable », c’est-à-dire privée, pour éviter qu’une attaque apparaisse avant le correctif (la faille peut être plus ou moins complexe à colmater). D’autres militent au contraire pour une transparence totale. Le Project Zero de Google se situe finalement entre les deux, mais sans explications supplémentaires de Microsoft, on ne saura pas pourquoi un tel silence dans le temps imparti. 

En attendant, la solution pour les utilisateurs n’est guère complexe : utiliser un autre navigateur le temps que le problème soit résolu, et éviter de cliquer sur des liens externes provenant de sources « louches ».

Commentaires (86)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Carpette a écrit :



Je me demande combien de fois cette image d’illustration a ete utilisee, j’ai l’impression de la voir toutes les 2 semaines.





Plein.

Chez Nxi ils tournent avec une trentaine d’images, en boucle depuis 2 ans.

Les deux gamins qui s’envoient des billets, le cadenas éclaté sur fond de circuit electronique, la petite pousse sur les escaliers en pieces de monnaie, etc…



Les seules nouvelles images c’est quand ce sont eux memes qui vont photographier les gens.


votre avatar

Et si tu vends des couteaux, tu es responsable de l’usage qui en est fait…

En fait non…



Il faut peut-être mettre un petit mot “prière de ne pas utiliser pour un usage illicite sur le couteau et le code d’injection SQL?” parce que c’est très efficace…

votre avatar

La sécurité des produits/services Google dépend de la sécurité de la plateforme sur laquelle ces produits et services tournent.



Inutile de dépenser des milliards pour sécuriser Chrome si a la base l’OS est vérolé de partout.

votre avatar







ArchangeBlandin a écrit :



Et si tu vends des couteaux, tu es responsable de l’usage qui en est fait… 



En fait non...      







Il faut peut-être mettre un petit mot "prière de ne pas utiliser pour un usage illicite sur le couteau et le code d'injection SQL?" parce que c'est très efficace...






Mauvais exemple : aux USA, pas mal de constructeurs se sont fait attaqués pour l’usage de leurs appareils. La raison? c’était pas noté dans le manuel qu’il ne fallait pas faire ça (exemple : les chats dans les fours à micro-ondes)


votre avatar

He be … ils sont réactif chez microsoft … <img data-src=" />



On croirait avoir affaire a un&nbsp; transporteur avec qui on travail et dont je ne citerais pas le nom ! <img data-src=" />

votre avatar

et utiliser un autre OS par la même occasion….

votre avatar

lol.

renseigne-toi un peu sur le sujet. <img data-src=" />

votre avatar

Oui, mais ça peut poser des problèmes dans certaines entreprises avec postes de travail “contraints”, sans autre navigateur dispo et aucune autorisation pour en utiliser un autre.

votre avatar

Oui, mais on est en France, et si je parle de mettre des trucs dans la notice, c’est précisément un clin d’oeil aux ricains où tout le monde se rappelle du coup du micro-ondes ou du camping-car dont la notice dit de ne pas quitter le poste de pilotage ou du couvercle des boissons chaudes qui dit que les boissons sont chaudes…

votre avatar

C’était pas abandonné Chrome OS ?

votre avatar







ArchangeBlandin a écrit :



Et si tu vends des couteaux, tu es responsable de l’usage qui en est fait…&nbsp;

En fait non…&nbsp;



Il faut peut-être mettre un petit mot “prière de ne pas utiliser pour un usage illicite sur le couteau et le code d’injection SQL?” parce que c’est très efficace…





Je voulais prendre l’exemple du couteau mais on m’aurait dit que le couteau c’est physique ou je sais pas quoi



&nbsp;


votre avatar







ArchangeBlandin a écrit :



Oui, mais on est en France, et si je parle de mettre des trucs dans la notice, c’est précisément un clin d’oeil aux ricains où tout le monde se rappelle du coup du micro-ondes ou du camping-car dont la notice dit de ne pas quitter le poste de pilotage ou du couvercle des boissons chaudes qui dit que les boissons sont chaudes…





Sauf que là, ça se passe justement aux USA donc tout est possible <img data-src=" />



(et au passage, je suis pas en France moi ^^)


votre avatar







hellmut a écrit :



lol.

renseigne-toi un peu sur le sujet. <img data-src=" />





Si c’est pour sortir du bullshit pareil, autant ne rien dire hein.


votre avatar

<img data-src=" />

ah oui, pardon, ton intervention étant effectivement justifiée, argumentée et très instructive, j’aurais du pousser le raisonnement.

mais va savoir pourquoi, j’ai été pris d’un accès de flemme aigüe.

votre avatar

il me semble que c’est totalement le contraire.

votre avatar

c’est tout à fait la cible, effectivement.

votre avatar







hellmut a écrit :



<img data-src=" />

ah oui, pardon, ton intervention étant effectivement justifiée, argumentée et très instructive, j’aurais du pousser le raisonnement.

mais va savoir pourquoi, j’ai été pris d’un accès de flemme aigüe.





Je pose une question et tu cherche un argument? Ben tu va chercher longtemps.


votre avatar

En même temps, est-ce que l’image importe vraiment ?

votre avatar

Et 1… Et 2… Et 3-0.<img data-src=" />

votre avatar







Berch a écrit :



En même temps, est-ce que l’image importe vraiment ?





En meme temps, si elle n’importe pas, pourquoi la mettre ?


votre avatar

Légende urbaine que ce chat



(par contre, l’exemple cité plus loin du café qui brûle, c’est avéré)

votre avatar

Non, je pense que des gens ont réellement mis leurs chats dans le micro onde pour les sécher. Y a déjà eu le cas dans un sèche-linge.



😮

votre avatar

Le dernier score qui fait parler, c’est 5-1.

votre avatar

trop facile <img data-src=" />

&nbsp;(moi j’ai pas digéré)

votre avatar







Drepanocytose a écrit :



En meme temps, si elle n’importe pas, pourquoi la mettre ?





C’est comme les puteaclick, tout le monde sais que c’est des connerie, mais ça donne envie de clicker.


votre avatar







ArchangeBlandin a écrit :



Et si tu vends des couteaux, tu es responsable de l’usage qui en est fait…

En fait non…



Il faut peut-être mettre un petit mot “prière de ne pas utiliser pour un usage illicite sur le couteau et le code d’injection SQL?” parce que c’est très efficace…





A la différence qu’un couteau est d’abord un outil aux usages légaux divers et variés et est vendu en tant que tel. Le couteau devient une armes seulement par destination, de la même manière que tu peux utiliser une batte de baseball pour défoncer la tête d’un mec.

Ici, dévoiler une faille n’est en rien “utilitaire”.


votre avatar

j’ai envie de te dire: à question con, réponse con, non?

tu crois vraiment que Project Zero ne cherche que des failles chez MS et pas chez Google?

ou tu sais juste pas ce que c’est? <img data-src=" />

votre avatar







tazvld a écrit :



A la différence qu’un couteau est d’abord un outil aux usages légaux divers et variés et est vendu en tant que tel. Le couteau devient une armes seulement par destination, de la même manière que tu peux utiliser une batte de baseball pour défoncer la tête d’un mec.

Ici, dévoiler une faille n’est en rien “utilitaire”.





Merci, j’allais l’écrire, et bien m’en a pris de parcourir vite fait les autres commentaires pour voir si quelqu’un y avait déjà réagi.

Car effectivement, l’exemple du couteau, usé et abusé, est complètement fallacieux dans ce cas.


votre avatar

disons que ça peut fortement pousser l’éditeur responsable de la faille à la colmater.

ou pas. <img data-src=" />

votre avatar

chez nous c’est plutôt les gamins dans le sèche-linge.

et le résultat est le même.

on rigole des yankee avec ces histoires, mais pour le coup on a aussi des cons chez nous.<img data-src=" />

votre avatar







levhieu a écrit :



Légende urbaine que ce chat



(par contre, l’exemple cité plus loin du café qui brûle, c’est avéré)





Aux USA, je sais plus mais en Angleterre, ce chat n’est pas une légende urbaine :) (mais ok, le procès dans ce cas a été en défaveur de la proprio).



Le plus ahurissant que j’ai vu, c’est une dame qui a réussi a être indemnisée par un magasin car elle a trébuchée sur son propre enfant.


votre avatar

<img data-src=" />

votre avatar

Ça tourne sous quoi un ChromeBook d’après toi ?



google.fr Google<img data-src=" />

votre avatar









&nbsp;Sinon, ces histoires de procès US c’est comme les perles du bac, 99% sont fakes mais c’est pas grave ça se propage quand même

votre avatar

Tant que tu y es, tu aurais dû dire cherche moi ça avec Google.



<img data-src=" />

votre avatar







Drepanocytose a écrit :



Plein.

Chez Nxi ils tournent avec une trentaine d’images, en boucle depuis 2 ans.

Les deux gamins qui s’envoient des billets, le cadenas éclaté sur fond de circuit electronique, la petite pousse sur les escaliers en pieces de monnaie, etc…



Les seules nouvelles images c’est quand ce sont eux memes qui vont photographier les gens.





Oui, ils utilisent les mêmes images.

Ca permet aux lecteurs de savoir au premier coup d’oeil de quoi parle l’article.


votre avatar







YamaLandia a écrit :



Le plus ahurissant que j’ai vu, c’est une dame qui a réussi a être indemnisée par un magasin car elle a trébuchée sur son propre enfant.





Ne jamais faire les courses avec son gamin, c’est la regle.



votre avatar

Moi qui n’affiche pas ces images parce que je les trouve tartes et qu’elles m’empêchent de lire l’article sans scroller, je ne sais donc pas de quoi parle l’article au premier coup d’œil ?



Et bien si, tout ça parce que je lis le titre avant même d’afficher l’article et de pouvoir voir l’image.

votre avatar

La faille de sécurité, c’est Microsoft qui la fournit, pas Google. <img data-src=" />

Google pointe juste le fait qu’elle existe. Un hackeur peut trouver cette faille sans l’aide de&nbsp;Google. Par contre il ne peut pas la trouver si Microsoft ne l’a pas introduit dans son produit.





&nbsp;

votre avatar

<img data-src=" /> j’aurais peut-être du effectivement. ^^

votre avatar

Les cours de chimie au lycée ça sert à rien non plus et ça apprend aux gens des réactions chimiques dangereuses, mais c’est pédagogique. Pour moi, c’est un peu la même chose, en révélant une faille, tu peux aider d’autres développeurs qui auraient commis une erreur du même genre.



La menace de dévoiler une faille c’est la seule chose qui fera bouger les sociétés réfractaires.

C’est une question de notoriété que d’avoir peu d’actualités sur les failles de ses applications.



J’espère qu’il y a une procédure prévue pour demander un allongement du délai, comme ça ceux qui s’intéressent à la correction de la faille mais manquent de temps et/ou de ressources pour la colmater mais essaient de le faire ne soient pas mis dans le pétrin. Mais MS n’a rien répondu, partant de là, c’est quand même leur faute.

votre avatar

Crosoft, à la hauteur de nos attentes ! <img data-src=" />

votre avatar

Je rajouterais pour ma part que je ne sais pas en fait si aux US on a une obligation de correction des failles. Par contre, on a bien la notion de complicité (ici fournir les moyens techniques).

Donc je ne suis pas sûr que Google soit si blindé que ça en cas de procès.

votre avatar

Comme je dis, pas sûr, il faudrait qu’il y ait une loi pour interdire les failles, et en imposer la correction, pour que Microsoft soit attaquable là dessus.

Par contre, le fait de divulguer des détails sur les moyens de réaliser l’attaque, c’est une autre paires de manches. Et la finalité de l’action (forcer l’éditeur à corriger), ne pourra en rien dédouaner des dommages causés par la divulgations.

Après faut prouver que les attaquants n’étaient pas au courant de la faille avant, mais si ils sont attrapés, et qu’ils ont bien bénéficié de la divulgation, tu as ton lien.

votre avatar







t0FF a écrit :



La faille de sécurité, c’est Microsoft qui la fournit, pas Google. <img data-src=" />

Google pointe juste le fait qu’elle existe. Un hackeur peut trouver cette faille sans l’aide de Google. Par contre il ne peut pas la trouver si Microsoft ne l’a pas introduit dans son produit.







Oui car MS l’a mis là volontairement, en attendant qu’on la découvre.



Tiens par contre, tous ces appareils androïd volontairement rendu obsolète par les constructeurs, par absence de support, ils n’ont toujours trouvé une solution au problème.



Bizarre.









<img data-src=" />


votre avatar

Un jour ils vont vraiment balancer une bombe qui sera exploitée, c’est irresponsable d’un côté de jeter le code au tout venant et de l’autre de ne pas corriger la faille…

Après j’ai envie de dire, c’est IE et Edge… Euh… Lol ?

votre avatar







fred42 a écrit :



Le dernier score qui fait parler, c’est 5-1.





<img data-src=" />


votre avatar

Pour ceux qui râle car Google diffuse publiquement des bugs Microsoft, je vous rappelle que c’est des gars de la même équipe de Google qui ont détecté la faille côté Cloudflare.



&nbsp;Ils ont utilisé exactement le même processus et le bug a été stoppé en quelques heures (en désactivant certaine fonctions) et un patch a&nbsp; été déployé quelques jours plus tard (2 jours) pour colmater définitivement le problème, les moteurs de recherches nettoyés et seulement ensuite le problème divulgué publiquement…



nextinpact.com Next INpact



Donc si Microsoft n’a pas une équipe réellement mobilisée capable de déployer un correctif en moins de 90 jours, on a du souci à se faire en cas de faille encore plus grosse impactant notre capacité à utiliser notre ordinateur.

votre avatar

“utiliser un autre navigateur le temps que le problème soit résolu”



Ouf c’est déjà le cas.&nbsp;<img data-src=" />

votre avatar



Sur le seul début d’année 2017, le Project Zero a déjà publié deux fois les détails de brèches signalées à Microsoft, qui n’a pas réagi dans les temps



“Réagir” c’est quoi?

D’après la fin de l’article on dirait qu’ils n’ont même pas répondu à Google, dans ce cas ils le cherchent…

Si c’est l’inverse et qu’ils ont demandé à Google d’allonger le délai de 90 jours alors c’est moche, mais bon la fin justifie les moyens pour pousser Chrome…

votre avatar

Leurs “projet zéro” annonces les failles d’android aussi ou ils se concentrene seulement et bizarrement que sur la concurrence ?

votre avatar

Y a réellement des gens qui utilisent Internet Explorer ? Encore edge je dis pas mais IE pour un particulier… Par contre en entreprise ou administration IE est encore très présent.



😕

votre avatar

Tu y étais presque :

“[…] , mais bon la fin justifie les moyens pour pousser Chrome OS…”

<img data-src=" />



Au-delà du fait que les failles identifiées se situent au niveau des navigateurs de Microsoft, je pense que cette communication vise plus globalement à dé-crédibiliser MS et sa capacité à proposer des environnements sécurisés à ses utilisateurs.

Je ne serais pas étonné de voir Google entrer dans une campagne visant à vanter les mérites de Chrome OS dans les prochains mois.

votre avatar

Tout ce qu’ils trouvent. En ce moment, sur les 6 failles ouvertes, il y en a 2 visant Android et une visant Chrome.

votre avatar

les failles d’android sont en général bouchées…



… Sauf sur les 99,999% des produits qui doivent passer par le constructeur et l’opérateur et n’en voient jamais la couleur <img data-src=" />

votre avatar

Un jours ou l’autre il y aura un procès, car les victimes seront dans tous les cas des utilisateurs qui n’ont rien demandé, et en fournissant un exemple de code, Google deviendras complice.

Politique de Google ou pas la loi est clair concernant l’intrusion et le maintien non autorisé dans un système informatique.

votre avatar







fraz a écrit :



Un jours ou l’autre il y aura un procès, car les victimes seront dans tous les cas des utilisateurs qui n’ont rien demandé, et en fournissant un exemple de code, Google deviendras complice.

Politique de Google ou pas la loi est clair concernant l’intrusion et le maintien non autorisé dans un système informatique.





Intrusion et maintien non autorisé effectués par quelqu’un d’autre que Google

&nbsp;


votre avatar

Oui mais avec des moyens fourni par Google

votre avatar

Je me demande combien de fois cette image d’illustration a ete utilisee, j’ai l’impression de la voir toutes les 2 semaines.

votre avatar

Je comprend pas pourquoi Google a un Projet qui chercher des bug chez M$, ils n’ont pas assez de taf chez eux ?

votre avatar







fraz a écrit :



Oui mais avec des moyens fourni par Google





Donc un mec qui diffuse un code d’injection SQL est complice du script kiddie qui l’a utilisé?


votre avatar







ArchangeBlandin a écrit :



Et si tu vends des couteaux, tu es responsable de l’usage qui en est fait…

En fait non…



Il faut peut-être mettre un petit mot “prière de ne pas utiliser pour un usage illicite sur le couteau et le code d’injection SQL?” parce que c’est très efficace…







T’as déjà essayé de couper un steak avec une injection SQL ?

Ou n’importe quoi d’autre de légitime ?


votre avatar

Interdire les failles lol ce qu’il ne faut pas entendre, tout les softs ont des failles elles sont inhérentes au fonctionnement même des softs. Pour régler le problème il faudrait sécuriser les fonctions présentes dans le langage C, puis C++, abandonné complètement la mémoire partagée, codé uniquement avec des langages du genre S# et compilé via des compilos style Bartok, avoir des SIP isolé etc.. Problème concevoir un tel os ou noyau est possible Microsoft l’a fait, mais ce n’est compatible avec rien. Reste la solution, d’intégrer ça petit à petit ce qu’ils font par exemple le sous système linux dans W10 qui est un library OS complètement isolé branché avec une PAL qui va bien.



Il faudrait aussi arrêter d’utiliser des langages à effet de bord du genre faire : int i = 2; puis i = 7; ne devrait pas être possible si non spécifié explicitement. Le développement par preuve mathématique lui est limité à +/- 100K lignes de code avant que l’entropie ne l’emporte et rendre impossible la vérification. Sans compter que cela est hors de porté de la majorité des développeurs.



Il faudrait aussi pouvoir prévoir l’ensemble des cas possibles, en gros avoir une boule de cristal et pas une petite, faire appel à des voyants des marabouts, avoir une machine à voyager dans le temps et sacrifier des vierges et des poulets les soirs de plein lune.

votre avatar

Android est un vrai gruyère (je reste gentil) étrangement ils parlent pas trop de la majorité des failles de leur étron d’OS. En Os mobile vaut mieux avoir de l’ios ou du windows phone.

votre avatar







ArchangeBlandin a écrit :



Les cours de chimie au lycée ça sert à rien non plus et ça apprend aux gens des réactions chimiques dangereuses, mais c’est pédagogique. Pour moi, c’est un peu la même chose, en révélant une faille, tu peux aider d’autres développeurs qui auraient commis une erreur du même genre.



La menace de dévoiler une faille c’est la seule chose qui fera bouger les sociétés réfractaires.

C’est une question de notoriété que d’avoir peu d’actualités sur les failles de ses applications.



J’espère qu’il y a une procédure prévue pour demander un allongement du délai, comme ça ceux qui s’intéressent à la correction de la faille mais manquent de temps et/ou de ressources pour la colmater mais essaient de le faire ne soient pas mis dans le pétrin. Mais MS n’a rien répondu, partant de là, c’est quand même leur faute.





Mouai… moi on m’a juste appris à faire du savon. Bon, je sais que ce n’est pas super bon de bouffer du savon, mais j’aurai plus vite faire de boire la soude nécessaire pour faire le savon. Après, ça sert à rien, ça dépend de tes études, moi ça m’a bien été utile.



Mais est ce une bonne solution ?


votre avatar

Lol, je crois que tu m’as lu trop vite.

Je ne pense pas qu’une loi contre les failles soit possible. Je répondais surtout à ceux qui disent qu’en cas de procès, Microsoft serait forcement coupable, contrairement à Google. Car dans le cas actuel, cela risque même d’être l’inverse. Il n’y a aucune loi nulle part pour imposer la correction des failles. C’est surtout la réputation de la boîte qui est en jeu, et peut être dans certains cas la non protection des données (vu que là Microsoft est au courant, et encore, je ne sais pas si cela existe dans le droit américain).

votre avatar
votre avatar







teddyalbina a écrit :



Android est un vrai gruyère (je reste gentil) étrangement ils parlent pas trop de la majorité des failles de leur étron d’OS. En Os mobile vaut mieux avoir de l’ios ou du windows phone.





Mouais, sauf que Windows Phone est assez opaque, quand à l’Alcatraz iOS c’est encore pire… Il n’y a pas de faille parce que le système est tellement verrouillé (pas dans un souci de sécurité, mais plutôt dans un souci malveillant d’empêcher toute vie en dehors d’apple) qu’on ne sait même pas ce qui s’y passe.

Je connais les forces et faiblesses d’Android (grâce à sa forte transparence de fonctionnement), à partir de là j’adapte en fonction des risques. Et je suis libre de court circuiter ou de gérer de manière agressive les applications bavardes.

Je me souviens qu’il y a quelques années, on avait découvert par hasard que la plupart des applications natives iOS envoyaient des choses à Apple, en oubliant juste de prévenir l’utilisateur au passage…

Et question PC, leur MacOS (je dis bien PC, c’est loin le temps des PPC et des Motorola !) s’aligne sur la même opacité de fonctionnement, avec Windows 10 qui s’y essaie en plus…

Mais on peut limiter l’impact des failles en connaissant les faiblesses de l’OS. C’est déjà ça… Sauf quand on est dans un OS qui cherche volontairement à se camoufler…


votre avatar

La volonté n’a rien à voir avec la responsabilité. Rien qu’un exemple au cas ou tu doutes : “homicide involontaire”…

votre avatar

En meme temps, selon vous, quelle est la situation la pire ?

Ne rien dévoiler et laisser tous vos systèmes vulnérable pendant potentiellement des années alors que des hackers/gouvernements et co peuvent avoir trouvé la faille ?

Ou dévoiler, risquer effectivement une fenêtre ouverte sur celle ci pendant quelque jours en forçant la main a Microsoft pour régler le problème ?

&nbsp;

Moi, je préfère la première solution.

Idéalement, le mieux aurait été que Microsoft se sorte les doigts du cul et corrige la faille en moins de 90 jours, faut quand même pas pousser.

&nbsp;

votre avatar







ArchangeBlandin a écrit :



Les cours de chimie au lycée ça sert à rien non plus et ça apprend aux gens des réactions chimiques dangereuses, mais c’est pédagogique. Pour moi, c’est un peu la même chose, en révélant une faille, tu peux aider d’autres développeurs qui auraient commis une erreur du même genre.



La menace de dévoiler une faille c’est la seule chose qui fera bouger les sociétés réfractaires.

C’est une question de notoriété que d’avoir peu d’actualités sur les failles de ses applications.



J’espère qu’il y a une procédure prévue pour demander un allongement du délai, comme ça ceux qui s’intéressent à la correction de la faille mais manquent de temps et/ou de ressources pour la colmater mais essaient de le faire ne soient pas mis dans le pétrin. Mais MS n’a rien répondu, partant de là, c’est quand même leur faute.





Comment tu sais que MS n’a pas répondu ?

Dans l’article, il est noté que MS n’a pas réagi à la publication des informations mais, à moins de bosser chez MS ou chez Google, impossible de savoir si Microsoft a répondu à Google lorsque ces derniers les ont informés de la faille.



Comme tu en parles, ils ont peut-être demandé un allongement du délai (ça ne serait pas la première fois) sans l’annoncer publiquement, mais visiblement, Google est très strict sur ce point.


votre avatar

Google se prend pour le gendarme d’Internet. C’est sûr que si Microsoft se penchait sur Android, le temps de déploiement des correctifs ne dépasserait pas 90 jours… Quelle blague.



Et bien entendu, utilisez Chrome qui lui est parfaitement sain…

votre avatar







YamaLandia a écrit :



Mauvais exemple : aux USA, pas mal de constructeurs se sont fait attaqués pour l’usage de leurs appareils. La raison? c’était pas noté dans le manuel qu’il ne fallait pas faire ça (exemple : les chats dans les fours à micro-ondes)



En France aussi. C’est pour ca qu’il est noté noir sur blanc sur les manuels des tronconneuses qu’il ne faut pas arrêter la chaîne avec ses parties génitales…









hellmut a écrit :



chez nous c’est plutôt les gamins dans le sèche-linge.

et le résultat est le même.

on rigole des yankee avec ces histoires, mais pour le coup on a aussi des cons chez nous.<img data-src=" />



C’est toujours mieux de les sécher avant de les mettre au congélateur, moins d’humidité = moins de consommation électrique <img data-src=" />


votre avatar

J’ai eu des cours sur des choses plus chaudes et plus toxiques que la réaction du savon…

votre avatar

Tout le processus est en plus du problème de failles, un problème de communication.

MS aurait pu dénoncer la règle des 90 jours ou simplement annoncer qu’ils travaillaient sur des patchs et que google serait le méchant s’il dévoilait.



Pas de communication, donc aucune indication sur ce qu’ils font. De leur côté, Google n’indique pas non plus si l’éditeur répond ou pas et si les travaux avancent.

Le système se veut vertueux, mais c’est seulement une épée de Damoclès qui menace chacun des éditeurs logiciels chez qui ont été recensées des failles. Ils ont oublié la transparence par rapport &nbsp;la collaboration avec les éditeurs.



J’ai un sentiment très mitigé sur le système mis en place par Google. C’est important de découvrir les failles, mais une règle stricte de 90 jours non extensibles sans indication de la réponse des éditeurs, c’est inadapté. Les seules annonces c’est sur la correction, mais quand on ne peut pas atteindre l’objectif dans les 90 jours, c’est mort.

votre avatar

Non, mais j’ai déjà corrigé des bugs avant qu’ils soient découverts parce qu’on m’a parlé d’un truc similaire.

C’est plus parlant ?

votre avatar

Est-on vulnérable en entreprise dont les postes bureautiques sont virtualisés sous Citrix (+ archi standard proxy, fw, etc) ?

votre avatar

Perso ça ne me gêne pas que Google publie sur une faille avérée, mais pourquoi publier le proof of concept ?

L’exploitation de la faille ne pourrait-elle pas être réservée entre MS et Google ?



Parce que bon, entre exploiter une faille décrite, et ouvrir le proof of concept pour voir comment ça marche, y a une grosse marge en termes de compétences…

votre avatar

Google balance les proof of concept dans la nature.

C’est équivalent à mettre une réserve d’armes avec un méga panneau “Servez vous, c’est prêt à l’emploi.”

Stock et munitions illimitées.

votre avatar







jackjack2 a écrit :



Donc un mec qui diffuse un code d’injection SQL est complice du script kiddie qui l’a utilisé?





Oui, comme quelqu’un republie la recette d’une bombe…Ou d’un gaz neuro-toxique, etc…Vous comprenez la portée de ce que fait Google ?


votre avatar







ArchangeBlandin a écrit :



Et si tu vends des couteaux, tu es responsable de l’usage qui en est fait…

En fait non…



Il faut peut-être mettre un petit mot “prière de ne pas utiliser pour un usage illicite sur le couteau et le code d’injection SQL?” parce que c’est très efficace…





Rhétorique des ados déresponsabilisés, une fois de plus.

Non, un couteau ne sert pas qu’à blesser ou tuer son prochain. Oui, une injection SQL sert uniquement à pirater un serveur.


votre avatar







ungars a écrit :



Oui, comme quelqu’un republie la recette d’une bombe…Ou d’un gaz neuro-toxique, etc…Vous comprenez la portée de ce que fait Google ?





Tiens c’est marrant que t’en parles, Wikipedia donne la recette du VX, donc ils sont responsable de la mort du demi-frère de Kim Jong-un

Bah écoute c’est ton avis, pas le mien, et apparemment je suis pas le seul


votre avatar

90 jours sans correction, c’est une forme de coma, non ? Ou bien la correction remet en cause trop de choses imbriquées les dans les autres, et c’est un merdier pas possible à corriger, et surtout à tester. Si c’est sous-traité en Inde, merci MS…

votre avatar







jackjack2 a écrit :



Tiens c’est marrant que t’en parles, Wikipedia donne la recette du VX, donc ils sont responsable de la mort du demi-frère de Kim Jong-un

Bah écoute c’est ton avis, pas le mien, et apparemment je suis pas le seul





Ben écoute, WIKIPEDIA (que Dieu l’ait en sa sainte garde) ne donne nullement la méthode pour le fabriquer, et encore moins les matériels requis, les protocoles, il donne juste (Paix Soit Sur Lui) la formule. ce qui est déjà pas mal pour exciter certains boutonneux du web. Mais qu’est ce que vous êtes tous innervant à la fin <img data-src=" />


votre avatar







psn00ps a écrit :



Google balance les proof of concept dans la nature.

C’est équivalent à mettre une réserve d’armes avec un méga panneau “Servez vous, c’est prêt à l’emploi.”

Stock et munitions illimitées.





Google se comporte de manière irresponsable. Ils ne faisaient pas trop le fier quand ils ont appris par voie de presse que la NSA nageait comme un poisson dans l’eau et se gavait de leur données en piochant dans leurs DATA CENTER depuis des années…


votre avatar

Peu importe l’objet, il ne fait rien seul, les personnes sont responsables de leurs actes. C’est la volonté de pirater qui cause le piratage, pas la facilité.

Les analogies ne marchent jamais vraiment bien, on a toujours des différences.

Google révèle les détails d’une nouvelle faille dans Windows, avec prototype d’exploitation

  • Troisième fois en moins d'un mois

  • Tous les utilisateurs sous Windows 7, 8.1 et 10

  • Le règlement est clair, mais...

Fermer