L'histoire se répète ces temps-ci : Google vient de dévoiler les détails d'une faille débusquée dans Windows 7 et 8.1, mais pas encore corrigée par Microsoft. Le problème se situe dans la fonction CryptProtectMemory qui, comme son nom l'indique, permet de chiffrer la mémoire.
Il y a quelques jours à peine, Microsoft fustigeait Google pour avoir dévoilé publiquement les détails d'une faille qui pouvait conduire à une élévation des privilèges et dont le correctif sortait deux jours plus tard. Cette semaine, rebelote avec la mise en ligne des détails d'une faille sur la fonction CryptProtectMemory qui s'occupe de chiffrer les données de la mémoire, notamment lors de l'échange d'informations entre deux processus.
Quand la fonction CryptProtectMemory fait parler d'elle
Le fond du problème est lié à l'implémentation de cette fonction dans CNG.sys qui ne vérifie pas correctement le niveau d'accréditation d'un utilisateur, ce qui pourrait conduire à une augmentation de privilège et à l'accès aux informations stockées en mémoire. Notez que cela concerne à la fois Windows 7 et 8.1 en versions 32 et 64 bits.
Google a identifié cette faille le 17 octobre 2014. Le chercheur à l'origine de cette découverte indique que, le 29 octobre, Microsoft aurait confirmé l'existence de ce problème et aurait réussi à la reproduire. La société de Mountain View a mis en ligne un petit fichier permettant de tester la présence de cette faille de sécurité. Le 14 janvier, Google demandait des nouvelles à Microsoft, précisant que la faille serait quoi qu'il en soit rendue publique le lendemain. Microsoft aurait alors informé Google qu'un correctif était prévu pour la mise à jour de Windows déployée en janvier, mais qu'elle avait été repoussée à cause d'« un problème de compatibilité », sans plus de précision. Elle devrait néanmoins faire partie du lot de correctifs de février.
Un correctif décalé de janvier à février, mais en attendant...
Mais, comme ce fut le cas il y a quelques jours, Google n'a pas changé son fusil d'épaule et, 90 jours après sa découverte, la faille a donc été rendue publique, qu'elle soit ou non corrigé n'entrant pas en ligne de compte pour le géant du web. Cela ne devrait évidemment pas être du goût de Microsoft, tout comme de celui des utilisateurs qui devront vraisemblablement attendre encore un mois avant que la brèche ne soit bouchée, sauf changement de dernière minute.
Certains blâmeront Google de rendre publique une faille de sécurité sans qu'elle ne soit corrigée et sans proposer de solution de contournement, tandis que d'autres fustigeront Microsoft de mettre plus de trois mois à corriger une faille. Dans tous les cas, il faudra trouver une solution, d'autant plus que les cas ont tendance à se multiplier ces dernières semaines.
