Publié par UnderNews Actu - Télécharger l'application Android

Selon Microsoft, la divulgation sous dix jours des vulnérabilités découvertes est un risque pour les utilisateurs. Les deux géants sont en désaccord après la publication d’une faille non corrigée touchant Windows 10.

Toujours la même tension entre Google et Microsoft sur la gestion de crise des failles de sécurité. Cette fois-ci, cela fait suite à une divulgation d’une vulnérabilité critique touchant Windows 10 par Google dix jours après sa découverte. Le patch n’est pas encore disponible, et prévu dans une semaine par l’éditeur.

 

Dans un billet de blog, Google se justifie en expliquant que Microsoft n’a publié ni alerte ni patch pour cette faille critique faisant d’ores et déjà l’objet d’exploitations sur Internet par un groupe de pirates connu sous le nom de Strontium (aka « Fancy Bear » ou APT 28) pour des cyberattaques très élaborées. « Cette vulnérabilité est particulièrement grave car nous savons qu’elle est activement exploitée », déclarent les experts de Google.

Mais voila, divulguer publiquement une vulnérabilité critique touchant un logiciel si populaire avant même qu’un patch soit diffusé est-il une bonne solution pour la sécurité ? Certainement pas pour Microsoft. On peut imaginer que Google souhaite par ce biais accélérer drastiquement le processus de correction. Or, on peut aussi se faire la réflexion concernant Google et son système Android : n’est-il pas celui ayant le plus important taux de fragmentation du marché et donc, celui dont le nombre de terminaux non patchés est élevé ? Google est-il bien placé pour faire cette morale à Microsoft ? Chacun se fera sa propre idée sur la question…

« Nous croyons en une divulgation coordonnée des vulnérabilités, et la divulgation d’aujourd’hui par Google pourrait potentiellement mettre les clients à risque » s’est expliqué Microsoft.

ExpressVPN

En outre, l’éditeur de Windows 10 ne partage pas l’analyse de Google concernant la gravité de la faille signalée. Le désaccord porte sur une élévation locale de privilège qualifiée de « critique » et « particulièrement sérieuse » par Google. Microsoft souligne que le scénario d’attaque décrit par la firme est annihilé par le déploiement la semaine dernière d’une mise à jour d’Adobe Flash… vaste débat !

Quoi qu’il en soit, Microsoft a précisé qu’il diffuserait la semaine prochaine un patch de sécurité pour cette faille de Windows via le premier Patch Tuesday de novembre.

 

Source : ZDNet

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , , , , , , ,

Recherches en relation :

  • google Microsoft vulnérabilité
  • windows 10 vs windows 7 vulnérabilité

Vos réactions

Ils parlent du sujet :

  1. NEWSLETTER CYBERSECURITE SEMAINE 44 - Adacis

    […] Révéler,ou pas révéler ? That is the question !, Microsoft et Google en désaccord sur le dévoilement d’une faille, avec toujours en cible ce bon vieux Flash Player ! Microsoft estime qu’il y a un risque pour les utilisateurs à révéler une faille de type « Zero Day ». […]

  2. […] [UPDATE 02/11/16] : Plusieurs informations apparaissent au fur et a mesure de la journée. On apprend sans surprise que Windows conteste les méthodes de Google concernant sa politique de divulgation de ce type de vulnérabilité. Selon Microsoft, ce genre de comportement met les utilisateurs en danger : Divulgation vulnérabilité Windows 10 : Google et Microsoft en désaccord […]