Google dévoile une faille sévère dans Windows 10Crédits : weerapatkiatdumrong/iStock

À travers son initiative Project Zero, Google vient de dévoiler une nouvelle faille chez son concurrent. Après Edge la semaine dernière, c’est au tour de Windows 10, Microsoft n’ayant pas réagi dans le délai imparti de 90 jours.

La vulnérabilité est assez spécifique. Signalée à Microsoft le 10 novembre, elle réside dans la fonction d’appel à distance (RPC) SvcMoveFileInheritSecurity. Le problème peut survenir quand un fichier avec lien matériel est déplacé vers un nouveau dossier possédant des ACE (access control entries) héritables.

Les droits du fichier peuvent alors changer, récupérant ceux du nouveau dossier. S’il était en lecture seulement, il peut par exemple devenir modifiable, son descripteur de sécurité étant changé. Exploitée, cette brèche peut mener à une élévation de privilèges, prouvée par le chercheur dans un proof-of-concept disponible depuis la page de description.

Notez que cette faille, estampillée 1428, en accompagnait une autre, liée, la 1427. Cette dernière a bien été résorbée par Microsoft, mais l’éditeur tarde sur la seconde. À Redmond, on ne considère pas cette faille comme critique, mais elle reste de niveau élevé.

Tout comme la faille dans Edge, on peut espérer désormais un correctif pour le prochain Patch Tuesday, soit le 13 mars.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !