Google publie les détails d'une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Google publie les détails d’une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Bad timing

Avatar de l'auteur

Vincent Hermann

Publié dansLogiciel

20/02/2017
68
Google publie les détails d'une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Le Projet Zero de Google a publié les détails d’une faille dans la GDI de Windows, avant la publication du correctif par Microsoft. L’éditeur a cependant bénéficié de 90 jours d’attente, malgré un correctif partiel l’année dernière. Explications.

Le Project Zero de Google dispose d’un règlement strict, bien qu'il ait été légèrement assoupli en février 2015 pour gommer quelques frictions. Microsoft en a déjà fait les frais, parfois à quelques jours d’intervalles seulement avant la publication d’un correctif. Cette fois-ci, le cas est un peu différent.

Tous les aspects du problème n'avaient pas été envisagés

La faille initiale, qui concerne la GDI (Graphic Device Interface) dans Windows, a été signalée pour la première fois le 9 juin 2016. À peine six jours plus tard, un correctif était proposé, réglant a priori la question. Quelques mois plus tard cependant, le Project Zero remet le couvert. Elle envoie le 16 novembre une alerte à Microsoft pour lui indiquer que tous les cas de figure n’ont pas été abordés, le tout accompagné d’un prototype d’exploitation (PoC).

Le 16 février au soir, la période réglementaire des 90 jours étant écoulée, le Project Zero est passé à l’étape suivante. Elle a publié les informations sur la faille, accompagnées du prototype. En d’autres termes, les pirates qui ne connaissaient pas son existence en sont maintenant informés et savent également comment l’exploiter.

La faille réclame un accès physique à la machine

Les utilisateurs sont-ils en grand danger ? Dans l’absolu, le risque semble modéré puisque la faille requiert un accès physique à la machine pour être exploitée. Si le pirate y parvient, il peut obtenir certaines informations stockées en mémoire. Il ne s’agit donc pas d’une brèche critique, notamment parce qu’il n’y a pas exécution arbitraire de code à distance.

Il y a cependant de quoi agacer Microsoft, qui n’en est pas à son premier choc avec le Project Zero. Cela étant, la question du correctif se pose. L’éditeur aurait en effet dû publier la semaine dernière ses bulletins de sécurité pour le mois de février. À la dernière minute, il a averti qu’ils auraient du retard, à cause de la découverte d’un problème, sur lequel aucun détail n’a été donné.

Les bulletins de février reportés à mars

Il est en fait possible que le fameux correctif ait fait partie du lot, mais que le retard ait déclenché la suite de la procédure. Les bulletins de février étant reportés à mars, il resterait alors environ trois semaines d’attente. Même si le risque ne semble pas élevé, il rappellera sans doute de mauvais souvenirs à Microsoft, puisque des pirates russes (le groupe STRONTIUM) avaient il y a quelques mois profité d’une faille du kernel révélée par le Project Zero.

68
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 2
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 15

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 IA 6

Sommaire de l'article

Introduction

Tous les aspects du problème n'avaient pas été envisagés

La faille réclame un accès physique à la machine

Les bulletins de février reportés à mars

Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 2
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 15

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 31
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 17
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 19
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (68)


Anonyme_f7d8f7f164fgnbw67p
Le 20/02/2017 à 11h14

Et c’est dans ce genre de situations qu’on se rend compte que Google oeuvre pour notre sécurité a tous. Bravo Google.


dvr-x Abonné
Le 20/02/2017 à 11h31

De toute façon, le sujet revient toujours… les réponses et avis seront surement les mêmes… On remarquera que si le sujet revient souvent, c’est surement qu’il y a un problème de traitement de ces failles.

90 Jrs après, MS n’a pas corrigé. Ils n’avait peut être même pas prévu de le faire ? qui sait… Ca aura le mérite de les faire se bouger un peu… Et ce pour le bien des utilisateurs ou cibles potentielles.

De toute façon, ceux qui sont à même d’exploiter de telles failles, je pense pas qu’ils attendent après Google.
Mais bon, dans le cas présent, avec une intervention physique sur le poste, en effet, le risque doit être réduit quand même !


anonyme_17187f2fe30034ef77b37a104608a3ce
Le 20/02/2017 à 11h45

Google ne balance rien du tout…..
Google balance des correctifs inapplicables en raison du mode de diffusion de son système et de ses relations avec les fabricants !
En conclusion, Google ne fournit AUCUN correctif…..


tifounon
Le 20/02/2017 à 12h12

Déjà le problème est la relative lenteur de diffusion des patchs : mensuel. Cela devrait être hebdo. Au vu de la criticité de telles failles.

Certains diront que cela réduirait la fenêtre de test pour les entreprises mais bon celles-ci sont déjà incapables de valider Windows 10 RTM…


GiLidan
Le 20/02/2017 à 12h18

ça ne prend pas en compte que les tests pour les entreprises mais aussi les tests de Microsoft je pense… Car sortir très régulièrement des patchs tu as plus facilement des bugs que tu n’as pas le temps de détecter… (d’ailleurs ça devait être un bug pour que microsoft ne sorte pas la maj de février). Puis pour ça google ne peut rien dire vu que leur maj de sécurité est aussi mensuelle sur Android (ils arrivent même la sortir plus tard que sur les appareils de Blackberry ^^)


Flogik Abonné
Le 20/02/2017 à 12h33

Hey les gens ! Arrêtez! 
d’habitude next Inpact est un site ou les commentaires sont constructifs et réfléchis (ou alors drôles, mais un peu réfléchis quand même). Là on a l’impression d’être dans la cour de récré ou dans le site d’en face qui fait 12000 news intutiles ! 


carbier Abonné
Le 20/02/2017 à 12h39

Que le ZDI existe rien à dire dessus.
Par contre que cela soit géré par Google quand on connait l’état de mise à jour du parc Android prête doucement à sourire.


QuickTurtle
Le 20/02/2017 à 12h59

A ce que je vois, la France et l’Europe vont détrôner les USA, la Chine et la Russie sur la high-tech avec tous les génies que nous avons et qui s’expriment ici.
 
Et parmi ceux-là, combien ont déjà mis la main à la pâte pour sortir des applications à la date exigée par le client ?


Minoucalinou
Le 20/02/2017 à 13h13

En réponse à Drepanocytose, là, lol. Pourquoi dans Android, ils ne peuvent pas mettre à jour l’OS sans passer par les constructeurs et les opérateurs ? Je sais là je suis amer


jeje07bis
Le 20/02/2017 à 13h23






tifounon a écrit :

Déjà le problème est la relative lenteur de diffusion des patchs : mensuel. Cela devrait être hebdo. Au vu de la criticité de telles failles.


jamais compris pourquoi les mises à jour tombent toujours le 2ème mardi du mois.. Y a une raison?
comment expliquer que les mises à jour tombent toujours à une date fixe?
 
pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?



Anonyme_f7d8f7f164fgnbw67p
Le 20/02/2017 à 13h27






jeje07bis a écrit :

pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?


MS dit que c’est une demande de leurs grands comptes pro pour leur permettre de prevoir leurs campagnes de test avant implementation.



Gamble
Le 20/02/2017 à 13h27

Je me souviens d’une comparaison entre la voiture et windows, faite par un responsable de General Motors.

Si aujourd’hui on faisait la même chose entre android et windows, je pense que ce ne serait pas joli à voir :




  • si windows fonctionnait comme android, on aurait une version majeure par an, modifiée et distribuée par les fabriquants de PC, optionnellement remodifiée et redistribuée par les FAIs, avec parfois, la possibilité d’upgrade, et avec fin du support de l’ensemble des versions antérieures.


YamaLandia
Le 20/02/2017 à 13h28






jeje07bis a écrit :

jamais compris pourquoi les mises à jour tombent toujours le 2ème mardi du mois.. Y a une raison?
comment expliquer que les mises à jour tombent toujours à une date fixe?
 
pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?


De mémoire, c’est lié au monde de l’entreprise : En adoptant un cycle régulier et mensuel, Microsoft ne perturbe pas les personnes responsables des mises à jour en entreprise.
Ainsi, les administrateurs organisent leur planning en sachant que les mises à jour arrivent toujours au même moment.
En publiant les mises à jour dés qu’elles sont prêtes et validées, ça devient trop imprévisible pour le monde de l’entreprise <img data-src=" />

Après, pour la raison du deuxième mardi, je ne sais pas <img data-src=" />



33A20158-2813-4F0D-9D4A-FD05E2C42E48
Le 20/02/2017 à 13h29

Parce que les gros clients corporate ont demandé à avoir un calendrier prévisible, histoire de planifier les ressources IT à y consacrer ?

Edit : grillé :-)
&nbsp;


jeje07bis
Le 20/02/2017 à 13h31






33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :

Parce que les gros clients corporate ont demandé à avoir un calendrier prévisible, histoire de planifier les ressources IT à y consacrer ?

Edit : grillé :-)
&nbsp;


ahhhhhhhhhhhhhhh!!!!

y aurait surement moyen de faire autrement en contentant tout le monde.



YamaLandia
Le 20/02/2017 à 13h33






jeje07bis a écrit :

ahhhhhhhhhhhhhhh!!!!

y aurait surement moyen de faire autrement en contentant tout le monde.


Pour le choix du mardi, c’est noté ceci sur Wikipedia (malheureusement, c’est pas sourcé) :

&nbsp;“Tuesday was chosen as the optimal day of the week to distribute software patches. This is done to maximize the amount of time available before the upcoming weekend to correct any issues that might arise with those patches, while leaving Monday free to address other unanticipated issues that might have arisen over the preceding weekend.”

&nbsp;Je suppose que le deuxième mardi a été priviligié pour éviter le rush de début de mois.



33A20158-2813-4F0D-9D4A-FD05E2C42E48
Le 20/02/2017 à 13h33






Gamble a écrit :

Je me souviens d’une comparaison entre la voiture et windows, faite par un responsable de General Motors.


Je me souviens aussi de ce gag… “Si les voitures étaient comme Windows il faudrait les redémarrer tous les X temps et nanani et nanana”.

C’est Bill Gates qui doit bien rigoler maintenant : les voitures ont exactement toutes les failles de sécurité qu’on reprochait à l’OS. Prise de contrôle à distance y compris.



Krogoth
Le 20/02/2017 à 15h19

Pas critique peut être mais lire des infos en mémoire ca veut dire un accès potentiel a des données normalement cryptées non?


RaoulC
Le 20/02/2017 à 16h12

Vous arrivez à quelque chose avec le poc.emf ? Moi il ne fait rien , sous Windows 7 x64 , dans IE ou Paint


anonyme_1239fd635f3ad0729220d37e3113ae29
Le 21/02/2017 à 08h52

Le seul point positif que je vois dans la ZDI tel qu’elle fonctionne actuellement, c’est qu’aucune faille (découverte, obv.) ne passe inaperçue du public averti. Notamment les rédactions comme NXI qui traitent la question.

Par conséquent, les portes créées sciemment à la demande d’une autorité ou l’autre finissent plus rapidement qu’avant par être dévoilées et donc fermées ou, tout du moins, par faire l’objet de contre-mesures maison (qui a dit rustine ?).


fred42 Abonné
Le 21/02/2017 à 14h38

Ça rime à quoi de modérer 24 h plus tard ?

Ridicule.

Edit : vous savez très bien que ça peut troller sur ce genre de news, soyez donc présent au début ou publiez quand un modo est disponible. Là, le fil de commentaires ne ressemble plus à rien.

D’autant plus que Vincent sait très bien modérer quand nécessaire. S’il ne l’a pas fait, c’est que ce n’était pas très utile…


Tolor
Le 21/02/2017 à 15h43

Il y a eu modération parce que ça a continué aujourd’hui. Il n’y aurait pas eu de message (ou du moins, pas de message à modérer), posté aujourd’hui, j’aurais tout laissé .

Et désolé en effet, ma présence étant fortement réduite ces temps ci, je ne passe pas forcément tous les jours, je n’avais pas vu le sujet hier.


Tolor
Le 21/02/2017 à 16h36

Un peu trop acerbes? Ton premier message était un troll, ton second un troll, et tu traites de fanboy derrière ceux qui ne sont pas d’accord avec toi. Encore une fois, et comme très souvent dit, les critiques structurées ont totalement leur place ici, quel que soit le sujet, les phrases lancées comme ça sans aucune argumentation, dans le but de se lacher et/ou que les autres se lachent sur toi, non


psn00ps Abonné
Le 21/02/2017 à 16h41

La faille permet une élévation de privilèges.


psn00ps Abonné
Le 21/02/2017 à 17h01

Si seulement ils faisaient patcher leur propre OS <img data-src=" />