Les ingénieurs de l’équipe « Google Project Zero » ne lâche pas l’affaire autour de Windows. Une nouvelle faille de sécurité du noyau de l’OS a été découverte. L’ensemble de ses détails est publié. L’objectif est de forcer Microsoft à réagir en proposant rapidement un correctif.
Cette publication n’est pas une surprise. La politique de « Google Project Zero » est de dévoiler tous les défauts découverts dans des logiciels 90 jours après les avoir communiqué aux entreprises concernées. Ceci met en évidence que Microsoft est informé de la situation depuis trois mois maintenant et aucune correction valide n’a été proposée.
Les ingénieurs de Google ont découvert cette vulnérabilité du noyau de Windows en mars 2017. L’équipe a même dérogé à sa politique en accordant un peu plus de temps à Microsoft pour agir. La date limite des 90 jours n’a donc pas été retenue. Un correctif a été déployé dans le cadre du Patch Tuesday du mois de juin 2017. Cependant, il n’a pas été à la hauteur et la faille est toujours d’actualité.
Google déclare que cette vulnérabilité permet d’accéder à la mémoire du noyau et éventuellement contourner les systèmes de protection de Windows 10. Ce problème est catalogué dans la section des risques de gravité moyenne.
Tous les Windows sont concernés de Windows 7 à 10
Bien que Windows 10 soit mentionné, le souci touche toutes les versions de l’OS. Ceci va de Windows 7 à Windows 10. Seules les itérations 32-bit sont concernées.
De son côté Microsoft ne semble pas être pressé de résoudre le problème. Un nouveau patch serait prévu pour le prochain Patch Tuesday. Il est programmé pour le mardi 11 juillet 2017. A ce sujet Google ajoute
« MSRC a effectivement confirmé que le correctif publié lors du Patch Tuesday de juin est incorrect et ne résout pas le bug. En tant que tel, la vulnérabilité se reproduit toujours sur Windows 7-10 […] Un nouveau correctif devrait être envoyé dans le cadre du Patch Tuesday de juillet (7/11) ou d’août (8/8) au plus tard »