L’espace Project Zero de Google publie les détails d’une vulnérabilité non corrigée de Windows 8.1 pour laquelle Microsoft a été prévenu fin septembre. La firme de Redmond minimise sa portée.
Chercheur en sécurité chez Google, James Forshaw a découvert une vulnérabilité de sécurité dont une preuve de concept (PoC) a été testée avec succès sur une version à jour de Windows 8.1 (32 et 64 bits). Il n’est pas sûr que Windows 7 soit également vulnérable en raison d’un contrôle de privilèges mais celui-ci pourrait toutefois être contourné.
De type élévation de privilèges, la vulnérabilité réside au niveau de l’appel système NtApphelpCacheControl. Un jeton d’accès (ou de sécurité) utilisé pour prendre de manière temporaire une autre identité n’est pas vérifié de manière correcte afin de déterminer si l’utilisateur est un administrateur. Si cette vulnérabilité fait aujourd’hui parler d’elle, c’est parce que dans le cadre du Project Zero de Google, elle a droit à une divulgation publique – la publication des détails techniques – et ce alors qu’il n’existe pas de correctif. C’est ainsi une 0-Day.
De manière confidentielle, Microsoft a été prévenu de ladite vulnérabilité le 30 septembre 2014. En vertu de la politique du Project Zero, la divulgation publique a eu lieu 90 jours plus tard. Pour James Forshaw, une telle politique est jugée comme ” optimale pour la sécurité de l’utilisateur “.
” Cela donne aux éditeurs de logiciels un laps de temps juste et raisonnable pour leur procédure de gestion des vulnérabilités, tout en respectant les droits des utilisateurs d’apprendre et comprendre les risques auxquels ils sont confrontés. “
De son côté, Microsoft a fait savoir qu’il travaille à la publication d’une mise à jour de sécurité pour corriger un problème d’élévation de privilèges et souligne que pour une exploitation, un attaquant doit d’abord obtenir des identifiants valides et se connecter en local sur une machine prise pour cible.
La pratique de Google est-elle correcte ou irresponsable d’après vous ?
Source : GNT