Le groupe d'analyse des menaces de Google a récemment découvert un ensemble de vulnérabilités nuisibles dans Adobe Flash et le Noyau Microsoft Windows qui étaient activement utilisés pour des attaques de logiciels malveillants contre le navigateur Chrome. Google a annoncé publiquement la faille de sécurité de Windows 10 jours seulement après l'avoir divulguée à Microsoft le 21 octobre. Google a également souligné que cette faille pourrait être utilisée de manière agressive par les attaquants et les codeurs pour compromettre la sécurité des systèmes Windows en obtenant un accès de niveau administrateur aux ordinateurs à l'aide d'un malware.
Cela peut être réalisé en permettant aux développeurs moins qu'honnêtes de s'échapper du bac à sable de sécurité de Windows qui exécute uniquement les applications au niveau de l'utilisateur sans avoir besoin d'un accès administrateur. Plonger un peu plus dans les détails techniques, le win32k.sys, un système Windows de support hérité bibliothèque utilisée principalement pour les graphiques, reçoit un appel spécifique qui accorde un accès complet à Windows environnement. Google Chrome a déjà mis en place un mécanisme de défense pour ce genre de faille et bloque cette attaque sur Windows 10 en utilisant une modification du sandbox Chromium appelée «
Verrouillage Win32k“.Google a décrit cette vulnérabilité particulière de Windows comme suit :
« La vulnérabilité Windows est une élévation de privilèges locale dans le noyau Windows qui peut être utilisée comme une évasion du bac à sable de sécurité. Il peut être déclenché via l'appel système win32k.sys NtSetWindowLongPtr() pour l'index GWLP_ID sur un handle de fenêtre avec GWL_STYLE défini sur WS_CHILD. Le bac à sable de Chrome bloque les appels système win32k.sys en utilisant l'atténuation du verrouillage Win32k sur Windows 10, ce qui empêche l'exploitation de cette vulnérabilité d'échappement du bac à sable.
Bien que ce ne soit pas la première rencontre de Google avec une faille de sécurité Windows, ils ont publié une déclaration publique concernant une vulnérabilité et a été plus tard, j'ai critiqué Microsoft pour avoir publié une note publique avant la limite officielle de sept jours accordée aux fabricants de logiciels pour émettre un réparer.
« Après 7 jours, selon notre politique publiée pour les vulnérabilités critiques activement exploitées, nous dévoilons aujourd'hui l'existence d'une vulnérabilité critique restante dans Windows pour laquelle aucun avis ou correctif n'a encore été publié », a écrit Neel Mehta et Billy Leonard du groupe d'analyse des menaces de Google. "Cette vulnérabilité est particulièrement grave car nous savons qu'elle est activement exploité."
UNE vulnérabilité zero-day est une faille de sécurité divulguée publiquement, nouvelle pour les utilisateurs. Et maintenant que la période de sept jours est écoulée, il n'y a toujours pas de correctif disponible concernant ce bogue de Microsoft.
La vulnérabilité Flash (également divulguée le 21 octobre) que Google a partagée avec Adobe a été corrigée le 26 octobre. Ainsi, les utilisateurs peuvent simplement mettre à jour vers la dernière version de Flash. Mais encore une fois, Microsoft a activement souligné que pour un simple plugin Web comme Flash, publier un correctif dans les sept jours n'est pas un cible difficile, mais pour un système d'exploitation complexe comme Windows, il est presque impossible de coder, tester et publier un correctif pour une faille de sécurité dans un semaine.
Non seulement Microsoft, mais de nombreuses autres grandes entités logicielles se sont activement opposées à cette politique controversée de Google consistant à révéler des failles dans un semaine, mais Google a maintenu qu'il est plus sûr pour la sécurité publique de sensibiliser à un bogue persistant qui peut compromettre l'utilisateur sécurité.