Après une faille 0-day dans Internet Explorer, c'est au tour de Windows d'être victime d'une autre brèche de sécurité. Le compte Twitter SandboxEscaper publie un prototype permettent de l'exploiter, comme le rapporte BleepingComputer.
Sur un Windows à jour, elle permet à un programme ou un utilisateur avec peu de privilèges de lire n'importe quel fichier se trouvant sur l'ordinateur, alors qu'il faudrait normalement un niveau administrateur. Cette faille a été confirmée par plusieurs autres chercheurs, notamment Mitja Kolsek, directeur général d’Acros Security et fondateur de la plate-forme 0Patch.
Une vidéo de démonstration a été mise en ligne
Commentaires (11)
#1
Euuuh ! Avant de la publier, ils l’ont notifié à Microsoft et ont attendu les 90j? Ce n’est pas précisé dans la brève (dans un sens comme dans l’autre)
#2
Et on ne sait pas non plus si elle est corrigée avec la dernière MAJ cumulative (que j’ai installée ce matin), ou s’il faudra attendre la prochaine.
#3
#4
“This is the third zero-day in Windows that SandboxEscaper releases publicly, without giving Microsoft a heads-up.”
Donc, non. C’est dans l’article en lien.
#5
C’est quoi “Internet Explorer” ? C’est quoi “Windows” ?
" />
(sent from my android/iphone smartphone)
Bon, si ca permet seulement de “lire” un fichier, c’est pas trop grave.
#6
“Bon, si ca permet seulement de “lire” un fichier, c’est pas trop grave.”
C’est pour déconner que tu dis cela hein ? C’est vendredi :)
#7
Ce qui serait grave, c’est si ça permettait de lire deux fichiers.
#8
La vidéo de démonstration a été mise en ligne le 27 novembre 2018 donc j’imagine que la cumulative update fix le souci 
" />
#9
#10
#11
Récupérer “frauduleusement” les droit en lecture est certes grave on est d’accord mais finalement moins critique que si ça permettait de récupérer les droits en écriture(après la news ne précise pas si la faille permet de récupérer les 2, sur un Unix c’est toujours clairement séparé mais sous Windows j’avoue que c’est un peu plus flou dans mon esprit)