Dans un passé pas très lointain, Google a suscité la colère de Microsoft en publiant des bogues non corrigés jusqu’alors dans Windows 8.1. Deux ans plus tard, Google signale à nouveau un bogue non encore corrigé, mais maintenant sous Windows 10. La “faute” est le retard de Patch Tuesday.
Quel est le rapport avec Google ? En 2014, l’entreprise a créé une initiative appelée “Projet Zéro” pour découvrir les failles de sécurité et promouvoir des corrections opportunes. Lorsqu’un bogue est trouvé, l’entreprise responsable en est informée et dispose alors de 90 jours pour lancer la correction. Si le délai n’est pas respecté, la vulnérabilité est rendue publique.
C’est ce qui s’est passé en 2015 avec Windows 8.1 et ce qui se passe maintenant avec Windows 10 (et d’autres versions). L’échec actuel concerne la bibliothèque GDI, qui permet d’utiliser les ressources graphiques dans des appareils tels que les imprimantes et les moniteurs vidéo.
Selon Mateusz Jurczyk, l’ingénieur de Google qui a découvert le problème, la faille permet à un attaquant de lire le contenu de la mémoire par le biais d’un métafichier EMF qui peut, par exemple, être inséré dans un document Word.
Ce bogue fait partie d’un paquet de vulnérabilité de Windows découvert en mars 2016 et corrigé trois mois plus tard. Mais en novembre de l’année dernière, Jurczyk a découvert que le bogue en question continuait d’exister même avec la mise à jour.
Microsoft a été à nouveau notifié, mais le délai de 90 jours a expiré. C’est pourquoi le bogue a été publié. Compte tenu de son histoire mouvementée avec le Projet Zéro, comment la société a-t-elle pu laisser cela se reproduire ?
Eh bien, le bogue aurait dû être corrigé mardi dernier (14) dans le cadre de Patch Tuesday, un ensemble de correctifs que Microsoft publie périodiquement depuis 2003. Mais pour une raison qui n’a pas été bien expliquée, Microsoft a décidé de retarder la sortie du paquet : Patch Tuesday ne sera disponible que le 14 mars.
Aucun représentant de Microsoft n’a commenté le récent bogue, mais en octobre 2016, lorsque Google a publié une autre faille dans Windows, Microsoft a déclaré qu’il est en faveur de la transparence mais estime que la façon dont Google traite la question des vulnérabilités pourrait mettre en danger les utilisateurs de Windows.
Google se défend en disant que 90 jours sont plus que suffisants pour réparer une faille.