Petit vent de panique hier en entreprise, alors que Microsoft Defender for Endpoint (anciennement Advanced Threat Protection) détectait une mise à jour de Chrome comme voulant installer une porte dérobée dans Windows.
Plus spécifiquement, le fichier sl.pak était détecté comme PHP/Funvalget.A et était donc bloqué. La mise à jour vers la version 88.0.4324.104 du navigateur était alors impossible, sans pour autant bloquer complètement le navigateur.
Mais la question était posée : Google avait-il été piraté au point de distribuer un fichier vérolé ? Pour beaucoup, il ne pouvait s’agir que d’un faux positif, puisque la même mise à jour n’était pas bloquée par Defender sur les machines grand public.
Et effectivement, Microsoft a confirmé à ZDnet qu’il s’agissait bien d’un faux positif, causé par « une erreur d’automatisation », sans que l’on en sache plus. Le problème est maintenant réglé.
Entre temps, certains avaient rappelé dans les forums qu’il existait une solution pour purger le cache de Defender et le forcer à récupérer la dernière version des signatures.
Commentaires (4)
#1
Faux positif en tant que porte dérobée… mais faux négatif en tant que spyware
#2
“et le forcer à récupérer la dernière version des signatures.”
La mise à jour de Defender était bloquée aussi ?
#3
Et donc un fichier avec une emprunte de vérole signé par google passe ? C’est ce que je comprends. J’espere n’avoir rien compris !
#4
Vu le peu de communication, ca va être dur d’en déduire quoique ce soit. Mais à mon avis la signature a été “renforcée” pour ne plus faire correspondre le fichier de Chrome. Ca arrive d’avoir des signatures un peu trop large…