Google a détails supprimés d’une vulnérabilité jusque-là non divulguée dans Windows, que les pirates informatiques exploitent activement. En conséquence, Google n’a donné à Microsoft qu’une semaine pour corriger la vulnérabilité. Cette date limite allait et venait, et Google a publié les détails de la vulnérabilité cet après-midi.

La vulnérabilité n’a pas de nom mais est étiquetée CVE-2020-17087 et affecte au moins Windows 7 et Windows 10.

Le projet Zero de Google, le groupe d’élite de chasseurs de bogues de sécurité qui a fait la découverte, a déclaré que le bogue permettait à un attaquant d’augmenter son niveau d’accès utilisateur dans Windows. Les attaquants utilisent la vulnérabilité Windows en conjonction avec un bogue distinct dans Chrome, que Google divulgué et corrigé la semaine dernière. Ce nouveau bogue permet à un attaquant d’échapper au bac à sable de Chrome, normalement isolé des autres applications, et d’exécuter des logiciels malveillants sur le système d’exploitation.

Dans un tweet, Ben Hawkes, responsable technique de Project Zero, a déclaré que Microsoft prévoyait de publier un correctif le 10 novembre.

Microsoft n’a pas confirmé cette date de manière indépendante, mais a déclaré dans un communiqué: «Microsoft s’est engagé à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils concernés pour protéger les clients. Alors que nous nous efforçons de respecter les délais de divulgation de tous les chercheurs, y compris les délais à court terme comme dans ce scénario, le développement d’une mise à jour de sécurité est un équilibre entre rapidité et qualité, et notre objectif ultime est de contribuer à assurer une protection maximale des clients avec une perturbation minimale des clients. “

Mais on ne sait pas qui sont les attaquants ni leurs motivations. Le directeur du renseignement sur les menaces de Google, Shane Huntley, a déclaré que les attaques étaient «ciblées» et non liées aux élections américaines.

Un porte-parole de Microsoft a également ajouté que l’attaque signalée était «de nature très limitée et ciblée, et nous n’avons vu aucune preuve indiquant une utilisation généralisée».

C’est la dernière d’une liste de failles majeures affectant Windows cette année. Microsoft a déclaré en janvier que l’Agence de sécurité nationale avait aidé à trouver un bug cryptographique dans Windows 10, bien qu’il n’y ait aucune preuve d’exploitation. Mais en juin et septembre, la sécurité intérieure a émis des alertes sur deux bogues Windows «critiques» – l’un qui avait la capacité de répartis sur Internet, et l’autre aurait pu obtenu un accès complet à un réseau Windows entier.

Mis à jour avec un commentaire de Microsoft.



Leave a Reply