Connexion
Abonnez-vous

Une faille 0-day dans Windows permet de lire n’importe quel fichier

Une faille 0-day dans Windows permet de lire n'importe quel fichier

Le 21 décembre 2018 à 09h39

Après une faille 0-day dans Internet Explorer, c'est au tour de Windows d'être victime d'une autre brèche de sécurité. Le compte Twitter SandboxEscaper publie un prototype permettent de l'exploiter, comme le rapporte BleepingComputer.

Sur un Windows à jour, elle permet à un programme ou un utilisateur avec peu de privilèges de lire n'importe quel fichier se trouvant sur l'ordinateur, alors qu'il faudrait normalement un niveau administrateur. Cette faille a été confirmée par plusieurs autres chercheurs, notamment Mitja Kolsek, directeur général d’Acros Security et fondateur de la plate-forme 0Patch.

Une vidéo de démonstration a été mise en ligne

Le 21 décembre 2018 à 09h39

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Euuuh ! Avant de la publier, ils l’ont notifié à Microsoft et ont attendu les 90j? Ce n’est pas précisé dans la brève (dans un sens comme dans l’autre)

votre avatar

Et on ne sait pas non plus si elle est corrigée avec la dernière MAJ cumulative (que j’ai installée ce matin), ou s’il faudra attendre la prochaine.

votre avatar







darkweizer a écrit :



Euuuh ! Avant de la publier, ils l’ont notifié à Microsoft et ont attendu les 90j? Ce n’est pas précisé dans la brève (dans un sens comme dans l’autre)







Pas averti Microsoft, et ce n’est pas la première fois qu’elle le fait <img data-src=" />

https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-rea…







Trit’ a écrit :



Et on ne sait pas non plus si elle est corrigée avec la dernière MAJ cumulative (que j’ai installée ce matin), ou s’il faudra attendre la prochaine.





On peut imaginer que non du coup ^^”


votre avatar

“This is the third zero-day in Windows that SandboxEscaper releases publicly, without giving Microsoft a heads-up.”



Donc, non. C’est dans l’article en lien.

votre avatar

C’est quoi “Internet Explorer” ? C’est quoi “Windows” ? <img data-src=" />

(sent from my android/iphone smartphone)



Bon, si ca permet seulement de “lire” un fichier, c’est pas trop grave.

votre avatar

“Bon, si ca permet seulement de “lire” un fichier, c’est pas trop grave.”

C’est pour déconner que tu dis cela hein ? C’est vendredi :)

votre avatar

Ce qui serait grave, c’est si ça permettait de lire deux fichiers.

votre avatar

La vidéo de démonstration a été mise en ligne le 27 novembre 2018 donc j’imagine que la cumulative update fix le souci&nbsp;<img data-src=" />

votre avatar







gg40 a écrit :



“Bon, si ca permet seulement de “lire” un fichier, c’est pas trop grave.”

C’est pour déconner que tu dis cela hein ? C’est vendredi :)







Ca reste une faille Mais elle requiert de pouvoir lancer un process sur la machine, donc d’être un utilisateur identifié du système.



Ca pose donc un réel problème de sécurité pour les PC utilisés par plusieurs personnes (et qui n’ont pas les droits admin). Dans ce cas, ca permet à un utilisateur A de lire le fichier dans le répertoire d’un utilisateur B.



Dans la majorité des cas sur un PC “Doméstique/Home”, y a qu’un seul utilisateur du PC… et au pire, s’il y en a deux, y a de grande chances qu’ils aient tous les droits admins.


votre avatar

<img data-src=" /> merci ce week-end commence bien

votre avatar

Récupérer “frauduleusement” les droit en lecture est certes grave on est d’accord mais finalement moins critique que si ça permettait de récupérer les droits en écriture(après la news ne précise pas si la faille permet de récupérer les 2, sur un Unix c’est toujours clairement séparé mais sous Windows j’avoue que c’est un peu plus flou dans mon esprit)

Une faille 0-day dans Windows permet de lire n’importe quel fichier

Fermer