Microsoft corrige enfin la faille de Windows derrière le bœuf de Google de la semaine dernière
Microsoft a enfin réparé la faille de sécurité qui a conduit à une dispute publique avec Google la semaine dernière.
Dans un bulletin de sécurité publié aujourd'hui, Microsoft a révélé qu'il avait corrigé une faille «critique» qui était activement exploitée par des pirates.
«Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows», lit-on dans le bulletin. «La plus grave des vulnérabilités pourrait permettre une élévation de privilèges si un attaquant se connecte à un système affecté et exécute une application spécialement conçue qui pourrait exploiter les vulnérabilités et prendre le contrôle d'un système affecté. »
Le problème a été porté à l'attention du public pour la première fois après que Google a révélé qu'il avait découvert la faille le 31 octobre. Google a en fait averti Microsoft de la faille en privé, disant au géant du logiciel qu'il savait que l'exploit était utilisé par des parties malveillantes. Dans un article de blog, Neel Mehta et Billy Leonard, du groupe d'analyse des menaces de Google, ont écrit:
«Après sept jours, conformément à notre politique publiée pour les vulnérabilités critiques activement exploitées, nous sommes aujourd'hui révélant l'existence d'une vulnérabilité critique restante dans Windows pour laquelle aucun avis ou correctif n'a encore été publié.
Il a poursuivi: «La vulnérabilité Windows est une élévation de privilèges locaux dans le noyau Windows qui peut être utilisée comme échappement de sandbox de sécurité.»
Ensuite, dans une déclaration à VentureBeat, Microsoft révélé qu'il n'était pas satisfait de la façon dont Google a géré la situation:
"Nous croyons en une divulgation coordonnée des vulnérabilités, et la divulgation d'aujourd'hui par Google expose les clients à des risques potentiels. Windows est la seule plate-forme avec un engagement client à enquêter sur les problèmes de sécurité signalés et à mettre à jour de manière proactive les appareils concernés dès que possible. Nous recommandons aux clients d'utiliser Windows 10 et le navigateur Microsoft Edge pour une protection optimale. »
Le 1er novembre, le patron de Microsoft Windows et des appareils, Terry Myerson, a reconnu que Microsoft avait récemment détecté un "Campagne de phishing de haut-parleur à faible volume" d'un groupe "d'activités" appelé STRONTIUM - bien que ce groupe soit largement connu sous le nom de «Ours fantaisie». Le groupe, que Microsoft a blâmé pour avoir exploité la faille, a déjà été lié au gouvernement russe et est accusé d'être derrière les récentes hacks électoraux américains.
Dans un article de blog, Myerson a écrit: «STRONTIUM est un groupe d'activités qui cible généralement les agences gouvernementales, les institutions diplomatiques et les organisations militaires, ainsi que les organisations affiliées du secteur privé telles que les entrepreneurs de la défense et la recherche sur les politiques publiques instituts. Microsoft a attribué plus d'exploits 0 jours à STRONTIUM qu'à tout autre groupe suivi en 2016. »
En rapport: Meilleurs ordinateurs portables 2016
Regarder: Guide de l'acheteur d'ordinateurs portables
Que pensez-vous de l'approche de Google face à la faille? Faites le nous savoir dans les commentaires.
