Le groupe d'analyse des menaces de Google a récemment découvert un ensemble de vulnérabilités nuisibles dans Adobe Flash et le noyau Microsoft Windows qui étaient activement utilisées pour les attaques de logiciels malveillants contre le navigateur Chrome. Google a annoncé publiquement la faille de sécurité dans Windows dix jours à peine après l'avoir révélée à Microsoft le 21 octobre. Google a également souligné que cette faille pourrait être utilisée de manière agressive par des attaquants et des codeurs afin de compromettre la sécurité des systèmes Windows en obtenant un accès de niveau administrateur à l'application. ordinateurs utilisant un malware.

Cet objectif peut être atteint en permettant à des développeurs peu honnêtes d'échapper au sandbox de sécurité de Windows qui exécute uniquement les applications de niveau utilisateur sans avoir besoin d'un accès administrateur. Plongeant un peu plus dans les détails techniques, win32k.sys, une bibliothèque système Windows héritée, principalement utilisée pour les graphiques, reçoit un appel spécifique qui accorde un accès complet à l'environnement Windows. Google Chrome a déjà mis en place un mécanisme de défense contre ce type de faille et bloque cette attaque sur Windows 10 à l'aide d'une modification du bac à sable Chromium appelée «Win32k lockdown».

Google a décrit cette vulnérabilité particulière de Windows comme suit:

«La vulnérabilité de Windows est une élévation de privilèges locale dans le noyau Windows qui peut être utilisée en tant qu'échappement de sandbox de sécurité. Il peut être déclenché via l'appel système win32k.sys NtSetWindowLongPtr () pour l'index GWLP_ID sur un handle de fenêtre avec GWL_STYLE défini sur WS_CHILD. Le bac à sable de Chrome bloque les appels système win32k.sys à l'aide de l'atténuation du verrouillage Win32k sous Windows 10, ce qui empêche l'exploitation de cette vulnérabilité liée à l'évacuation du bac à sable."

Bien que Google ne soit pas confronté pour la première fois à une faille de sécurité, Windows a publié une déclaration publique sur cette vulnérabilité. Il a ensuite été critiqué par Microsoft pour avoir publié une note publique avant l'expiration du délai officiel de sept jours accordé aux fabricants de logiciels pour la publication d'un correctif.

«Après 7 jours, conformément à notre politique publiée concernant les vulnérabilités critiques activement exploitées, nous révélons aujourd'hui l'existence d'une vulnérabilité critique restante dans Windows pour laquelle aucun avis ou solution n'a encore été publié», ont écrit Neel Mehta et Billy Leonard de l'analyse des menaces de Google. Group. "Cette vulnérabilité est particulièrement grave car nous savons qu'elle est activement exploitée."

Une vulnérabilité zéro jour est une faille de sécurité révélée publiquement pour les utilisateurs. Et maintenant que le délai de sept jours est écoulé, il n'y a toujours pas de correctif disponible concernant ce bogue de Microsoft.

La vulnérabilité Flash (également divulguée le 21 octobre) que Google a partagée avec Adobe a été corrigée le 26 octobre. Les utilisateurs peuvent donc tout simplement mettre à jour leur version de Flash. Mais là encore, Microsoft a activement souligné que pour un simple plugin Web tel que Flash, l’émission d’un correctif dans les sept jours n’était pas une cible difficile, mais pour un système d’exploitation complexe comme Windows, il était presque impossible de coder, de tester et d’émettre. un correctif pour une faille de sécurité dans la semaine.

Non seulement Microsoft, mais de nombreuses autres entités logicielles majeures se sont activement opposées à la politique controversée de Google visant à révéler les failles au bout d'une semaine, mais Google a affirmé qu'il était plus sûr pour la sécurité publique de sensibiliser le public à un bug persistant susceptible de compromettre la sécurité des utilisateurs.