Microsoft n’a plus qu’à mettre tout en œuvre pour apporter les corrections avant que des cybercriminels ne s’emparent de la vulnérabilité !  Dans le strict respect des règles qu’il s’est fixée concernant les failles, Google a dévoilé les détails d’une faille affectant Windows, non encore corrigée par Microsoft.

Google a attendu pendant plusieurs mois un correctif,  mais Microsoft n’a pas réagi ! Trop tard !

Traquer les failles de sécurité dans les logiciels.

ð Le projet Google Zéro  a pour  but de traquer les failles de sécurité dans les logiciels populaires

Les chercheurs de Google laissent aux éditeurs concernés par les failles qu’ils découvrent un délai de 90 jours pour qu’ils publient un correctif.

Si ce délai n’est pas respecté, Google publie les détails de la faille, ce qui permet à n’importe qui d’exploiter la vulnérabilité et expose l’éditeur négligeant à la pression du public.

C’est dans ce cadre que Microsoft est la nouvelle cible de cette politique de la part de Google Zero.

La vulnérabilité en cause a été découverte par un chercheur dans  l’équipe Google Zero, Mateusz Jurczyk.

La faille se situe au sein d’une librairie graphique de Windows et permet à un attaquant d’accéder et d’exfiltrer certaines informations sensibles stockées dans la mémoire de la machine.

Cette faille n’a rien d’inhabituelle, le chercheur de l’équipe Google expliquant  ainsi avoir déjà repéré plusieurs failles de ce type dans les outils de Microsoft et n’avoir eu jusqu’ici aucune difficulté  à les voir corrigées.

ð Mais, malgré les correctifs apportés par Microsoft en juin 2016 celle-ci semble avoir subsisté.

Après avoir constaté que le bug restait exploitable, le chercheur  de Google a contacté Microsoft afin de leur signaler cette nouvelle faille de sécurité au début du mois de novembre.

Mais Microsoft n’a pas publié le correctif permettant de supprimer à temps la faille découverte par l’équipe Google Zero et  celle-ci a donc révélé la nature de cette faille en question au bout de 90 jours.

Microsoft a récemment annoncé que le patch Tuesday du mois de février était repoussé.

On peut donc en déduire qu’un correctif aurait pu  être apporté pour les utilisateurs à cette occasion.

Mais, Google est intransigeant : les 90 jours écoulés, le couperet tombe ! Microsoft n’a plus qu’à mettre tout en œuvre pour apporter les corrections avant que des cybercriminels ne s’emparent de la vulnérabilité