À travers son initiative Project Zero, Google vient de dévoiler une nouvelle faille chez son concurrent. Après Edge la semaine dernière, c’est au tour de Windows 10, Microsoft n’ayant pas réagi dans le délai imparti de 90 jours.
La vulnérabilité est assez spécifique. Signalée à Microsoft le 10 novembre, elle réside dans la fonction d’appel à distance (RPC) SvcMoveFileInheritSecurity
. Le problème peut survenir quand un fichier avec lien matériel est déplacé vers un nouveau dossier possédant des ACE (access control entries) héritables.
Les droits du fichier peuvent alors changer, récupérant ceux du nouveau dossier. S’il était en lecture seulement, il peut par exemple devenir modifiable, son descripteur de sécurité étant changé. Exploitée, cette brèche peut mener à une élévation de privilèges, prouvée par le chercheur dans un proof-of-concept disponible depuis la page de description.
Notez que cette faille, estampillée 1428, en accompagnait une autre, liée, la 1427. Cette dernière a bien été résorbée par Microsoft, mais l’éditeur tarde sur la seconde. À Redmond, on ne considère pas cette faille comme critique, mais elle reste de niveau élevé.
Tout comme la faille dans Edge, on peut espérer désormais un correctif pour le prochain Patch Tuesday, soit le 13 mars.
Commentaires (5)
#1
Encore une fois, de quel droit Google se permet de décréter que 90j sont un délai nécessaire et suffisant pour que MS ait corrigé la faille et la publier d’autorité ?
Si encore MS faisait la sourde oreille niant le problème, ça pourrait s’entendre, mais ce n’est apparemment pas le cas.
#2
#3
Avec leur système monolithique, on voit bien que Microsoft galère à fixer des vulnérabilités (une semaine devrait suffire …)
#4
#5
Peut-être aussi parce qu’ils doivent prendre en compte la très grande diversité des configurations et possibilités d’impacts, non ?
9 femmes ne font pas un bébé un 1 mois. Même si tu leurs donnes tout l’or du monde.
Je ne cherche pas à dédouaner MS, c’est un propos juste à côté de la plaque, mais en l’instance - et ce n’est pas la 1ère fois - de la façon totalement arbitraire de faire de Google.