L’équipe en charge des recherches de failles de sécurité chez Google (Threat Analysis) vient de révéler une vulnérabilité critique dans Windows, dans un communiqué public sur le blog de sécurité de l’entreprise. Le bug lui-même est très spécifique – il permet aux hackers de contourner des sandbox de sécurité grâce à une faille dans le système win32k – mais il est suffisamment grave pour être classé comme « critique », et selon Google, il est activement exploité.
Google a ainsi révélé la faille au public seulement 10 jours après avoir signalé le problème à Microsoft, avant même que ce dernier n’ait eu le temps de préparer un correctif. Le résultat est que, même si Google a déjà déployé un correctif pour protéger les utilisateurs de Chrome, Windows lui-même est encore vulnérable – et maintenant, tout le monde le sait.
D’abord interrogé par VentureBeat, Microsoft a durement critiqué la publication de la faille. « La divulgation d’aujourd’hui par Google expose les clients à un risque potentiel », a déclaré un porte-parole de Microsoft. « Nous recommandons aux clients d’utiliser Windows 10 et le navigateur Microsoft Edge pour une meilleure protection. »
Mardi, Microsoft a fourni plus de détails dans un communiqué de son vice-président exécutif Terry Myerson. Myerson a attribué l’exploitation du bug à un groupe appelé Strontium, un groupe lié à la Russie aussi appelé Fancy Bear. Myerson a souligné que les utilisateurs de Windows 10 naviguant avec Edge seraient protégés d’éventuelles attaques, et a promis un patch à l’échelle du système pour le 8 novembre.