Google publie les détails d'une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Google publie les détails d’une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Bad timing

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

20/02/2017 3 minutes
68

Google publie les détails d'une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Le Projet Zero de Google a publié les détails d’une faille dans la GDI de Windows, avant la publication du correctif par Microsoft. L’éditeur a cependant bénéficié de 90 jours d’attente, malgré un correctif partiel l’année dernière. Explications.

Le Project Zero de Google dispose d’un règlement strict, bien qu'il ait été légèrement assoupli en février 2015 pour gommer quelques frictions. Microsoft en a déjà fait les frais, parfois à quelques jours d’intervalles seulement avant la publication d’un correctif. Cette fois-ci, le cas est un peu différent.

Tous les aspects du problème n'avaient pas été envisagés

La faille initiale, qui concerne la GDI (Graphic Device Interface) dans Windows, a été signalée pour la première fois le 9 juin 2016. À peine six jours plus tard, un correctif était proposé, réglant a priori la question. Quelques mois plus tard cependant, le Project Zero remet le couvert. Elle envoie le 16 novembre une alerte à Microsoft pour lui indiquer que tous les cas de figure n’ont pas été abordés, le tout accompagné d’un prototype d’exploitation (PoC).

Le 16 février au soir, la période réglementaire des 90 jours étant écoulée, le Project Zero est passé à l’étape suivante. Elle a publié les informations sur la faille, accompagnées du prototype. En d’autres termes, les pirates qui ne connaissaient pas son existence en sont maintenant informés et savent également comment l’exploiter.

La faille réclame un accès physique à la machine

Les utilisateurs sont-ils en grand danger ? Dans l’absolu, le risque semble modéré puisque la faille requiert un accès physique à la machine pour être exploitée. Si le pirate y parvient, il peut obtenir certaines informations stockées en mémoire. Il ne s’agit donc pas d’une brèche critique, notamment parce qu’il n’y a pas exécution arbitraire de code à distance.

Il y a cependant de quoi agacer Microsoft, qui n’en est pas à son premier choc avec le Project Zero. Cela étant, la question du correctif se pose. L’éditeur aurait en effet dû publier la semaine dernière ses bulletins de sécurité pour le mois de février. À la dernière minute, il a averti qu’ils auraient du retard, à cause de la découverte d’un problème, sur lequel aucun détail n’a été donné.

Les bulletins de février reportés à mars

Il est en fait possible que le fameux correctif ait fait partie du lot, mais que le retard ait déclenché la suite de la procédure. Les bulletins de février étant reportés à mars, il resterait alors environ trois semaines d’attente. Même si le risque ne semble pas élevé, il rappellera sans doute de mauvais souvenirs à Microsoft, puisque des pirates russes (le groupe STRONTIUM) avaient il y a quelques mois profité d’une faille du kernel révélée par le Project Zero.

68

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Tous les aspects du problème n'avaient pas été envisagés

La faille réclame un accès physique à la machine

Les bulletins de février reportés à mars

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (68)


Et c’est dans ce genre de situations qu’on se rend compte que Google oeuvre pour notre sécurité a tous. Bravo Google.


De toute façon, le sujet revient toujours… les réponses et avis seront surement les mêmes… On remarquera que si le sujet revient souvent, c’est surement qu’il y a un problème de traitement de ces failles.



90 Jrs après, MS n’a pas corrigé. Ils n’avait peut être même pas prévu de le faire ? qui sait… Ca aura le mérite de les faire se bouger un peu… Et ce pour le bien des utilisateurs ou cibles potentielles.



De toute façon, ceux qui sont à même d’exploiter de telles failles, je pense pas qu’ils attendent après Google.

Mais bon, dans le cas présent, avec une intervention physique sur le poste, en effet, le risque doit être réduit quand même !


Google ne balance rien du tout…..

Google balance des correctifs inapplicables en raison du mode de diffusion de son système et de ses relations avec les fabricants !

En conclusion, Google ne fournit AUCUN correctif…..


Déjà le problème est la relative lenteur de diffusion des patchs : mensuel. Cela devrait être hebdo. Au vu de la criticité de telles failles.



Certains diront que cela réduirait la fenêtre de test pour les entreprises mais bon celles-ci sont déjà incapables de valider Windows 10 RTM…


ça ne prend pas en compte que les tests pour les entreprises mais aussi les tests de Microsoft je pense… Car sortir très régulièrement des patchs tu as plus facilement des bugs que tu n’as pas le temps de détecter… (d’ailleurs ça devait être un bug pour que microsoft ne sorte pas la maj de février). Puis pour ça google ne peut rien dire vu que leur maj de sécurité est aussi mensuelle sur Android (ils arrivent même la sortir plus tard que sur les appareils de Blackberry ^^)


Hey les gens ! Arrêtez! 

d’habitude next Inpact est un site ou les commentaires sont constructifs et réfléchis (ou alors drôles, mais un peu réfléchis quand même). Là on a l’impression d’être dans la cour de récré ou dans le site d’en face qui fait 12000 news intutiles ! 


Que le ZDI existe rien à dire dessus.

Par contre que cela soit géré par Google quand on connait l’état de mise à jour du parc Android prête doucement à sourire.


A ce que je vois, la France et l’Europe vont détrôner les USA, la Chine et la Russie sur la high-tech avec tous les génies que nous avons et qui s’expriment ici.

 

Et parmi ceux-là, combien ont déjà mis la main à la pâte pour sortir des applications à la date exigée par le client ?


En réponse à Drepanocytose, là, lol. Pourquoi dans Android, ils ne peuvent pas mettre à jour l’OS sans passer par les constructeurs et les opérateurs ? Je sais là je suis amer








tifounon a écrit :



Déjà le problème est la relative lenteur de diffusion des patchs : mensuel. Cela devrait être hebdo. Au vu de la criticité de telles failles.





jamais compris pourquoi les mises à jour tombent toujours le 2ème mardi du mois.. Y a une raison?

comment expliquer que les mises à jour tombent toujours à une date fixe?

 

pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?









jeje07bis a écrit :



pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?





MS dit que c’est une demande de leurs grands comptes pro pour leur permettre de prevoir leurs campagnes de test avant implementation.



Je me souviens d’une comparaison entre la voiture et windows, faite par un responsable de General Motors.



Si aujourd’hui on faisait la même chose entre android et windows, je pense que ce ne serait pas joli à voir :




  • si windows fonctionnait comme android, on aurait une version majeure par an, modifiée et distribuée par les fabriquants de PC, optionnellement remodifiée et redistribuée par les FAIs, avec parfois, la possibilité d’upgrade, et avec fin du support de l’ensemble des versions antérieures.








jeje07bis a écrit :



jamais compris pourquoi les mises à jour tombent toujours le 2ème mardi du mois.. Y a une raison?

comment expliquer que les mises à jour tombent toujours à une date fixe?

 

pourquoi les mises à jour ne sont elles pas disponibles simplement quand elles sont prêtes et valider?





De mémoire, c’est lié au monde de l’entreprise : En adoptant un cycle régulier et mensuel, Microsoft ne perturbe pas les personnes responsables des mises à jour en entreprise.

Ainsi, les administrateurs organisent leur planning en sachant que les mises à jour arrivent toujours au même moment.

En publiant les mises à jour dés qu’elles sont prêtes et validées, ça devient trop imprévisible pour le monde de l’entreprise <img data-src=" />



Après, pour la raison du deuxième mardi, je ne sais pas <img data-src=" />



Parce que les gros clients corporate ont demandé à avoir un calendrier prévisible, histoire de planifier les ressources IT à y consacrer ?



Edit : grillé :-)

&nbsp;








33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Parce que les gros clients corporate ont demandé à avoir un calendrier prévisible, histoire de planifier les ressources IT à y consacrer ?



Edit : grillé :-)

&nbsp;





ahhhhhhhhhhhhhhh!!!!



y aurait surement moyen de faire autrement en contentant tout le monde.









jeje07bis a écrit :



ahhhhhhhhhhhhhhh!!!!



y aurait surement moyen de faire autrement en contentant tout le monde.





Pour le choix du mardi, c’est noté ceci sur Wikipedia (malheureusement, c’est pas sourcé) :



&nbsp;“Tuesday was chosen as the optimal day of the week to distribute software patches. This is done to maximize the amount of time available before the upcoming weekend to correct any issues that might arise with those patches, while leaving Monday free to address other unanticipated issues that might have arisen over the preceding weekend.”



&nbsp;Je suppose que le deuxième mardi a été priviligié pour éviter le rush de début de mois.









Gamble a écrit :



Je me souviens d’une comparaison entre la voiture et windows, faite par un responsable de General Motors.





Je me souviens aussi de ce gag… “Si les voitures étaient comme Windows il faudrait les redémarrer tous les X temps et nanani et nanana”.



C’est Bill Gates qui doit bien rigoler maintenant : les voitures ont exactement toutes les failles de sécurité qu’on reprochait à l’OS. Prise de contrôle à distance y compris.



Pas critique peut être mais lire des infos en mémoire ca veut dire un accès potentiel a des données normalement cryptées non?


Vous arrivez à quelque chose avec le poc.emf ? Moi il ne fait rien , sous Windows 7 x64 , dans IE ou Paint


Le seul point positif que je vois dans la ZDI tel qu’elle fonctionne actuellement, c’est qu’aucune faille (découverte, obv.) ne passe inaperçue du public averti. Notamment les rédactions comme NXI qui traitent la question.



Par conséquent, les portes créées sciemment à la demande d’une autorité ou l’autre finissent plus rapidement qu’avant par être dévoilées et donc fermées ou, tout du moins, par faire l’objet de contre-mesures maison (qui a dit rustine ?).


Ça rime à quoi de modérer 24 h plus tard ?



Ridicule.



Edit : vous savez très bien que ça peut troller sur ce genre de news, soyez donc présent au début ou publiez quand un modo est disponible. Là, le fil de commentaires ne ressemble plus à rien.



D’autant plus que Vincent sait très bien modérer quand nécessaire. S’il ne l’a pas fait, c’est que ce n’était pas très utile…


Il y a eu modération parce que ça a continué aujourd’hui. Il n’y aurait pas eu de message (ou du moins, pas de message à modérer), posté aujourd’hui, j’aurais tout laissé .



Et désolé en effet, ma présence étant fortement réduite ces temps ci, je ne passe pas forcément tous les jours, je n’avais pas vu le sujet hier.


Un peu trop acerbes? Ton premier message était un troll, ton second un troll, et tu traites de fanboy derrière ceux qui ne sont pas d’accord avec toi. Encore une fois, et comme très souvent dit, les critiques structurées ont totalement leur place ici, quel que soit le sujet, les phrases lancées comme ça sans aucune argumentation, dans le but de se lacher et/ou que les autres se lachent sur toi, non


La faille permet une élévation de privilèges.


Si seulement ils faisaient patcher leur propre OS <img data-src=" />