Friendoffriends
Le groupe d'analyse des menaces de Google a récemment découvert un ensemble de vulnérabilités nuisibles dans Adobe Flash et le noyau Microsoft Windows qui étaient activement utilisées pour des attaques de logiciels malveillants contre le navigateur Chrome. Google a annoncé publiquement la faille de sécurité dans Windows à peine 10 jours après l'avoir révélée à Microsoft le 21 octobre. Google a également souligné que cette faille pourrait être utilisée de manière agressive par les attaquants et les codeurs pour compromettre la sécurité des systèmes Windows en obtenant un accès de niveau administrateur à la ordinateurs utilisant un malware.
Cela peut être réalisé en permettant aux développeurs moins qu'honnêtes de s'échapper du sandbox de sécurité de Windows qui n'exécute que des applications de niveau utilisateur sans avoir besoin d'un accès administrateur. En plongeant un peu plus dans les détails techniques, le win32k.sys, une ancienne bibliothèque système Windows de support utilisée principalement pour les graphiques, reçoit un appel spécifique qui accorde un accès complet à l'environnement Windows. Google Chrome a déjà mis en place un mécanisme de défense pour ce type de faille et bloque cette attaque sur Windows 10 en utilisant une modification du bac à sable Chromium appelée «Win32k lockdown».
Google a décrit cette vulnérabilité Windows particulière comme suit:
«La vulnérabilité Windows est une élévation de privilèges locaux dans le noyau Windows qui peut être utilisée comme échappement de sécurité sandbox. Il peut être déclenché via l'appel système win32k.sys NtSetWindowLongPtr () pour l'index GWLP_ID sur un handle de fenêtre avec GWL_STYLE défini sur WS_CHILD. Le bac à sable de Chrome bloque les appels système win32k.sys à l'aide de l'atténuation du verrouillage Win32k sur Windows 10, ce qui empêche l'exploitation de cette vulnérabilité d'échappement du bac à sable. »
Bien que ce ne soit pas la première rencontre de Google avec une faille de sécurité Windows, ils ont publié une déclaration publique concernant une vulnérabilité et ont ensuite été critiqués par Microsoft pour avoir publié une note publique avant la limite officielle de sept jours accordée aux fabricants de logiciels pour publier un correctif..
«Après 7 jours, conformément à notre politique publiée pour les vulnérabilités critiques activement exploitées, nous révélons aujourd'hui l'existence d'une vulnérabilité critique restante dans Windows pour laquelle aucun avis ni correctif n'a encore été publié», ont écrit Neel Mehta et Billy Leonard de Google's Threat Analysis. Groupe. »Cette vulnérabilité est particulièrement grave car nous savons qu’elle est activement exploitée.»
Une vulnérabilité zero-day est une faille de sécurité révélée publiquement et nouvelle pour les utilisateurs. Et maintenant que la période de sept jours est passée, il n'y a toujours pas de correctif disponible concernant ce bogue de Microsoft.
La vulnérabilité Flash (également révélée le 21 octobre) que Google partageait avec Adobe a été corrigée le 26 octobre. Ainsi, les utilisateurs peuvent simplement mettre à jour vers la dernière version de Flash. Mais là encore, Microsoft a activement souligné que pour un simple plugin Web comme Flash, publier un correctif dans les sept jours n'est pas une cible difficile, mais pour un système d'exploitation complexe comme Windows, il est presque impossible de coder, de tester et d'émettre un patch pour une faille de sécurité dans une semaine.
Non seulement Microsoft, mais de nombreuses autres grandes entités logicielles se sont activement opposées à cette politique controversée de Google consistant à révéler les failles dans la limite d'une semaine, mais Google a maintenu qu'il est plus sûr pour la sécurité publique de sensibiliser à un bogue persistant qui pourrait compromettre la sécurité des utilisateurs..
- Sécurité
