08172017Headline:

Google dévoile une faille non corrigée dans Windows 8.1

Google dévoile une faille non corrigée dans Windows 8.1

Lorsqu’une faille est détectée au sein de Windows, elle est généralement comblée assez rapidement par Microsoft. Sauf que cette fois, Redmond n’a pas eu le temps de résoudre une vulnérabilité découverte par Google concernant Windows 8.1 qui n’avait pas été dévoilée jusqu’alors.

Manque de chance pour Microsoft, Google a suivi à la lettre sa propre politique, qui consiste à révéler au grand public les failles de sécurité 90 jours après leur découverte. La faille se retrouve au vu et au su de tout le monde, et peut être exploitée par n’importe quel hacker en herbe.

En théorie, la vulnérabilité mise en avant par Google et son programme Project Zero a de quoi être alarmante. La faille concerne en fait le module NtApphelpCacheControl et accorde une élévation des privilèges à quiconque en tire profit. Elle contourne l’UAC et permet en théorie à un malware de s’exécuter le plus tranquillement du monde en mode administrateur. En pratique, pour exploiter cette vulnérabilité, il faut que le hacker ait accès en local à la machine et puisse s’identifier. En clair, à moins d’avoir un collègue ou un proche qui souhaite s’accaparer les données de votre machine et qui connaisse vos informations d’identification, il n’y a aucune chance que la faille soit exploitée massivement. Reste à savoir si Microsoft n’a pas été un long à se pencher sur le problème et si les développeurs de Windows auraient pu livrer un correctif plus rapidement. Certains, comme l’éditeur d’antivirus Sophos, estiment que la durée de 90 jours imposée par Google était insuffisante pour Microsoft, qui devait à la fois combler une telle vulnérabilité et surtout tester convenablement un patch. À qui la faute, donc ?

Microsoft a néanmoins révélé être conscient de cette faille de sécurité et a promis de la combler rapidement. En toute logique, le problème devrait être réglé avec le déploiement du prochain Patch Tuesday, qui est prévu pour le 13 janvier 2015. En attendant, mieux vaut toujours se prémunir de toute tentative d’intrusion dans son PC à l’aide d’une solution de sécurité complète et de changer régulièrement son mot de passe de connexion.

Retrouvez cet article sur tomsguide.fr

Comments

comments

What Next?

Recent Articles

Leave a Reply

Submit Comment