Les utilisateurs du système d’exploitation Windows sont une nouvelle fois exposés à des risques de sécurité. Un ingénieur de projet « Google Zero » révèle une faille de sécurité connue de Microsoft mais non corrigée.
Mateusz Jurczyk met en lumière une défaillance de Windows en matière de sécurité informatique. L’OS souffre d’une vulnérabilité. Elle touche le composant « gdi32.dll ». Le problème est d’importance puisqu’une personne à la possibilité de compromettre le système. Le problème a été signalé à Microsoft il y a presque une année (mars 2016) cependant l’affaire n’est pas résolue.
Le géant du logiciel a reconnu la defaillance. Le déploiement du correctif MS16-074 en juin 2016 a tenté d’apporter une solution cependant selon Mateusz Jurczyk, il n’est pas suffisant. La vulnérabilité serait toujours là permettant l’extraction de données d’une machine au travers du navigateur Internet Explorer ou d’autres clients GDI.
Microsoft a de nouveau été informé de la situation en novembre 2016 cependant, rien n’a été fait. Ceci explique le choix de l’ingénieur de divulguer au grand jour cette faille. Il ne s’agit pas d’une position personnelle mais simplement l’application de la politique du projet « Google Zero ». Elle stipule que si dans les 90 jours après la première notification d’un problème de sécurité, l’entreprise derrière l’application concernée ne fait rien, l’ensemble des détails est rendu public.
Microsoft ne s’est pas exprimé au sujet de cette affaire. Le fait que cette faille soit désormais public, expose l’ensemble des utilisateurs Windows. Microsoft est donc « forcé » de réagir. Il est possible que le prochain Patch Tuesday s’accompagne d’une solution définitive et viable.
Le bon côté de la chose touche à la nature de cette faille. Bien que dangereuse, elle reste difficile à exploiter puisque le déploiement d’un fichier EMF spécialement conçu est nécessaire sur le PC visé.
Ce n’est pas la première fois que Google publie des détails autour de certaines défaillances de Windows. La dernière communication date de novembre 2016. Microsoft n’est pas resté insensible à la démarche. A l’époque Redmond avait critiqué Google en soulignant que la firme avait volontairement exposé l’ensemble des utilisateurs Windows à des “risques accrus.”
Terry Myerson, vice-président exécutif de la branche Windows avait souligné
«La décision de Google de divulguer ces vulnérabilités avant l’arrivée de correctifs expose les clients à des risques accrus ».
Les cartes mères LGA 1851 équipées du chipset Intel B860 commencent à apparaître. La ROG… Lire d'avantage
L’utilitaire GPU-Z évolue en version 2.61. Le focus concerne la prise en charge de nouveaux… Lire d'avantage
Les premières informations sur la GeForce RTX 5070 Ti, prévue pour début 2025, indiquent des… Lire d'avantage
Annoncé en mars dernier, le SK hynix Platinum P51 PCIe 5.0 est enfin lancé en… Lire d'avantage
Acer lève le voile sur sa gamme de SSD FA200 PCIe 4.0. Visant le milieu… Lire d'avantage
Kioxia a dévoilé l'Exceria Plus G4, un SSD M.2 NVMe qui promet des débits musclés… Lire d'avantage