Souvenez-vous Projet Zéro ? Il s’agit d’une initiative de Google visant à rechercher les failles de sécurité dans les logiciels de tiers. Lorsqu’une vulnérabilité est découverte, elle est signalée au développeur. Eh bien, Google a trouvé un bug qui permet à des utilisateurs limités de Windows 8.1 d’obtenir des autorisations administratives. Et les détails sur la façon d’exploiter le bogue, non encore corrigé par Microsoft, ont été publiés par Google.
Cela semble même mauvais de la part de Google, mais le Projet Zéro prévoit la divulgation de l’échec 90 jours après avoir alerté le développeur si le problème n’a pas été résolu. Comme Microsoft en a été informé le 30 septembre il y a plus de trois mois, le sujet du forum de recherche de Google a été automatiquement mis à jour avec les détails de la vulnérabilité et une preuve de concept, qui fonctionne sur les versions 32 et 64 bits de Windows 8.1.
Microsoft a informé Engadget qu’il fonctionne toujours pour corriger la faille, mais a tenté de rassurer les utilisateurs : ?il est important de noter que pour qu’un intrus présumé puisse tenter d’exploiter le système, il doit d’abord disposer d’un identifiant de connexion valide et être en mesure de se connecter localement à une machine cible ? Pour l’instant, la recommandation de la société est d’avoir un antivirus, un pare-feu et des correctifs à jour (au moins ceux qui sont disponibles).
Certains utilisateurs ont critiqué la position de Google sur la publication des détails de cette faille. En réponse, la société a déclaré que la règle est en place depuis début 2014, et qu’elle a été adoptée par d’autres chercheurs en sécurité depuis 2001 : “Le Projet Zéro estime que les délais de divulgation sont actuellement la meilleure approche de la sécurité des utilisateurs permettre aux fournisseurs de logiciels de disposer d’un délai juste et raisonnable pour corriger leurs défaillances tout en respectant le droit des utilisateurs à comprendre les risques auxquels ils sont confrontés”.
Les détails de la faille de sécurité de Windows 8.1, ainsi que le lien de téléchargement de la preuve de concept, sont sur cette page.
