Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Google publie les détails d’une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Bad timing

Google publie les détails d'une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Le 20 février 2017 à 10h30

Le Projet Zero de Google a publié les détails d’une faille dans la GDI de Windows, avant la publication du correctif par Microsoft. L’éditeur a cependant bénéficié de 90 jours d’attente, malgré un correctif partiel l’année dernière. Explications.

Le Project Zero de Google dispose d’un règlement strict, bien qu'il ait été légèrement assoupli en février 2015 pour gommer quelques frictions. Microsoft en a déjà fait les frais, parfois à quelques jours d’intervalles seulement avant la publication d’un correctif. Cette fois-ci, le cas est un peu différent.

Tous les aspects du problème n'avaient pas été envisagés

La faille initiale, qui concerne la GDI (Graphic Device Interface) dans Windows, a été signalée pour la première fois le 9 juin 2016. À peine six jours plus tard, un correctif était proposé, réglant a priori la question. Quelques mois plus tard cependant, le Project Zero remet le couvert. Elle envoie le 16 novembre une alerte à Microsoft pour lui indiquer que tous les cas de figure n’ont pas été abordés, le tout accompagné d’un prototype d’exploitation (PoC).

Le 16 février au soir, la période réglementaire des 90 jours étant écoulée, le Project Zero est passé à l’étape suivante. Elle a publié les informations sur la faille, accompagnées du prototype. En d’autres termes, les pirates qui ne connaissaient pas son existence en sont maintenant informés et savent également comment l’exploiter.

La faille réclame un accès physique à la machine

Les utilisateurs sont-ils en grand danger ? Dans l’absolu, le risque semble modéré puisque la faille requiert un accès physique à la machine pour être exploitée. Si le pirate y parvient, il peut obtenir certaines informations stockées en mémoire. Il ne s’agit donc pas d’une brèche critique, notamment parce qu’il n’y a pas exécution arbitraire de code à distance.

Il y a cependant de quoi agacer Microsoft, qui n’en est pas à son premier choc avec le Project Zero. Cela étant, la question du correctif se pose. L’éditeur aurait en effet dû publier la semaine dernière ses bulletins de sécurité pour le mois de février. À la dernière minute, il a averti qu’ils auraient du retard, à cause de la découverte d’un problème, sur lequel aucun détail n’a été donné.

Les bulletins de février reportés à mars

Il est en fait possible que le fameux correctif ait fait partie du lot, mais que le retard ait déclenché la suite de la procédure. Les bulletins de février étant reportés à mars, il resterait alors environ trois semaines d’attente. Même si le risque ne semble pas élevé, il rappellera sans doute de mauvais souvenirs à Microsoft, puisque des pirates russes (le groupe STRONTIUM) avaient il y a quelques mois profité d’une faille du kernel révélée par le Project Zero.

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







jeje07bis a écrit :



ahhhhhhhhhhhhhhh!!!!



y aurait surement moyen de faire autrement en contentant tout le monde.





Pour le choix du mardi, c’est noté ceci sur Wikipedia (malheureusement, c’est pas sourcé) :



 “Tuesday was chosen as the optimal day of the week to distribute software patches. This is done to maximize the amount of time available before the upcoming weekend to correct any issues that might arise with those patches, while leaving Monday free to address other unanticipated issues that might have arisen over the preceding weekend.”



 Je suppose que le deuxième mardi a été priviligié pour éviter le rush de début de mois.


votre avatar







Gamble a écrit :



Je me souviens d’une comparaison entre la voiture et windows, faite par un responsable de General Motors.





Je me souviens aussi de ce gag… “Si les voitures étaient comme Windows il faudrait les redémarrer tous les X temps et nanani et nanana”.



C’est Bill Gates qui doit bien rigoler maintenant : les voitures ont exactement toutes les failles de sécurité qu’on reprochait à l’OS. Prise de contrôle à distance y compris.


votre avatar

Pas critique peut être mais lire des infos en mémoire ca veut dire un accès potentiel a des données normalement cryptées non?

votre avatar

Vous arrivez à quelque chose avec le poc.emf ? Moi il ne fait rien , sous Windows 7 x64 , dans IE ou Paint

votre avatar

Le seul point positif que je vois dans la ZDI tel qu’elle fonctionne actuellement, c’est qu’aucune faille (découverte, obv.) ne passe inaperçue du public averti. Notamment les rédactions comme NXI qui traitent la question.



Par conséquent, les portes créées sciemment à la demande d’une autorité ou l’autre finissent plus rapidement qu’avant par être dévoilées et donc fermées ou, tout du moins, par faire l’objet de contre-mesures maison (qui a dit rustine ?).

votre avatar

Ça rime à quoi de modérer 24 h plus tard ?



Ridicule.



Edit : vous savez très bien que ça peut troller sur ce genre de news, soyez donc présent au début ou publiez quand un modo est disponible. Là, le fil de commentaires ne ressemble plus à rien.



D’autant plus que Vincent sait très bien modérer quand nécessaire. S’il ne l’a pas fait, c’est que ce n’était pas très utile…

votre avatar

Il y a eu modération parce que ça a continué aujourd’hui. Il n’y aurait pas eu de message (ou du moins, pas de message à modérer), posté aujourd’hui, j’aurais tout laissé .



Et désolé en effet, ma présence étant fortement réduite ces temps ci, je ne passe pas forcément tous les jours, je n’avais pas vu le sujet hier.

votre avatar

Un peu trop acerbes? Ton premier message était un troll, ton second un troll, et tu traites de fanboy derrière ceux qui ne sont pas d’accord avec toi. Encore une fois, et comme très souvent dit, les critiques structurées ont totalement leur place ici, quel que soit le sujet, les phrases lancées comme ça sans aucune argumentation, dans le but de se lacher et/ou que les autres se lachent sur toi, non

votre avatar

Hey les gens ! Arrêtez! 

d’habitude next Inpact est un site ou les commentaires sont constructifs et réfléchis (ou alors drôles, mais un peu réfléchis quand même). Là on a l’impression d’être dans la cour de récré ou dans le site d’en face qui fait 12000 news intutiles ! 

votre avatar

Que le ZDI existe rien à dire dessus.

Par contre que cela soit géré par Google quand on connait l’état de mise à jour du parc Android prête doucement à sourire.

votre avatar

A ce que je vois, la France et l’Europe vont détrôner les USA, la Chine et la Russie sur la high-tech avec tous les génies que nous avons et qui s’expriment ici.

 

Et parmi ceux-là, combien ont déjà mis la main à la pâte pour sortir des applications à la date exigée par le client ?

votre avatar

En réponse à Drepanocytose, là, lol. Pourquoi dans Android, ils ne peuvent pas mettre à jour l’OS sans passer par les constructeurs et les opérateurs ? Je sais là je suis amer

votre avatar







tifounon a écrit :



Déjà le problème est la relative lenteur de diffusion des patchs : mensuel. Cela devrait être hebdo. Au vu de la criticité de telles failles.





jamais compris pourquoi les mises à jour tombent toujours le 2ème mardi du mois.. Y a une raison?

comment expliquer que les mises à jour tombent toujours à une date fixe?

 

pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?


votre avatar







jeje07bis a écrit :



pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?





MS dit que c’est une demande de leurs grands comptes pro pour leur permettre de prevoir leurs campagnes de test avant implementation.


votre avatar

Je me souviens d’une comparaison entre la voiture et windows, faite par un responsable de General Motors.



Si aujourd’hui on faisait la même chose entre android et windows, je pense que ce ne serait pas joli à voir :




  • si windows fonctionnait comme android, on aurait une version majeure par an, modifiée et distribuée par les fabriquants de PC, optionnellement remodifiée et redistribuée par les FAIs, avec parfois, la possibilité d’upgrade, et avec fin du support de l’ensemble des versions antérieures.

votre avatar







jeje07bis a écrit :



jamais compris pourquoi les mises à jour tombent toujours le 2ème mardi du mois.. Y a une raison?

comment expliquer que les mises à jour tombent toujours à une date fixe?

 

pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?





De mémoire, c’est lié au monde de l’entreprise : En adoptant un cycle régulier et mensuel, Microsoft ne perturbe pas les personnes responsables des mises à jour en entreprise.

Ainsi, les administrateurs organisent leur planning en sachant que les mises à jour arrivent toujours au même moment.

En publiant les mises à jour dés qu’elles sont prêtes et validées, ça devient trop imprévisible pour le monde de l’entreprise <img data-src=" />



Après, pour la raison du deuxième mardi, je ne sais pas <img data-src=" />


votre avatar

Parce que les gros clients corporate ont demandé à avoir un calendrier prévisible, histoire de planifier les ressources IT à y consacrer ?



Edit : grillé :-)

&nbsp;

votre avatar







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Parce que les gros clients corporate ont demandé à avoir un calendrier prévisible, histoire de planifier les ressources IT à y consacrer ?



Edit : grillé :-)

&nbsp;





ahhhhhhhhhhhhhhh!!!!



y aurait surement moyen de faire autrement en contentant tout le monde.


votre avatar

Et c’est dans ce genre de situations qu’on se rend compte que Google oeuvre pour notre sécurité a tous. Bravo Google.

votre avatar

De toute façon, le sujet revient toujours… les réponses et avis seront surement les mêmes… On remarquera que si le sujet revient souvent, c’est surement qu’il y a un problème de traitement de ces failles.



90 Jrs après, MS n’a pas corrigé. Ils n’avait peut être même pas prévu de le faire ? qui sait… Ca aura le mérite de les faire se bouger un peu… Et ce pour le bien des utilisateurs ou cibles potentielles.



De toute façon, ceux qui sont à même d’exploiter de telles failles, je pense pas qu’ils attendent après Google.

Mais bon, dans le cas présent, avec une intervention physique sur le poste, en effet, le risque doit être réduit quand même !

votre avatar

Google ne balance rien du tout…..

Google balance des correctifs inapplicables en raison du mode de diffusion de son système et de ses relations avec les fabricants !

En conclusion, Google ne fournit AUCUN correctif…..

votre avatar

Déjà le problème est la relative lenteur de diffusion des patchs : mensuel. Cela devrait être hebdo. Au vu de la criticité de telles failles.



Certains diront que cela réduirait la fenêtre de test pour les entreprises mais bon celles-ci sont déjà incapables de valider Windows 10 RTM…

votre avatar

ça ne prend pas en compte que les tests pour les entreprises mais aussi les tests de Microsoft je pense… Car sortir très régulièrement des patchs tu as plus facilement des bugs que tu n’as pas le temps de détecter… (d’ailleurs ça devait être un bug pour que microsoft ne sorte pas la maj de février). Puis pour ça google ne peut rien dire vu que leur maj de sécurité est aussi mensuelle sur Android (ils arrivent même la sortir plus tard que sur les appareils de Blackberry ^^)

votre avatar

La faille permet une élévation de privilèges.

votre avatar

Si seulement ils faisaient patcher leur propre OS <img data-src=" />

Google publie les détails d’une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

  • Tous les aspects du problème n'avaient pas été envisagés

  • La faille réclame un accès physique à la machine

  • Les bulletins de février reportés à mars

Fermer