Passer au contenu

Windows 10 : attention, cette faille ne sera pas comblée avant le 10 novembre

Les chercheurs en sécurité de Google viennent de faire la découverte d’une faille importante dans Windows 10 et de précédentes versions de l’OS de Microsoft, jusqu’à Windows 7. La faille permet à des hackers de prendre le contrôle total de votre PC en échappant à l’environnement isolé de son navigateur web.

Crédits : Alexander Andrews via Unsplash

Microsoft a beau corriger ses vulnérabilités au moyen de patchs de sécurité distribués régulièrement, Windows continue d’alimenter les travaux des chercheurs en cybersécurité. Les chercheurs du Project Zero de Google viennent en effet de repérer une faille d’ampleur dans Windows 10, et de précédentes versions de l’OS de Microsoft. Cette faille zero-day repose sur la façon dont l’OS de Microsoft gère les fonctions cryptographiques. Plus concrètement, lorsqu’on exploite cette faille et qu’on la couple avec certaines vulnérabilités d’un navigateur web, cela permet à des hackers de prendre totalement le contrôle d’une machine.

Les chercheurs du Project Zero de Google se sont aperçus que les pirates utilisaient déjà cette faille de Windows, baptisée CVE-2020-17087, et la combinait avec une faille de Chrome. En enchaînant ces manipulations, les hackers ont pu exécuter du code malveillant à distance sur un ordinateur cible. Ce cocktail explosif peut être particulièrement dommageable, d’autant plus que le combo Windows 10 et Google Chrome reste l’une des recettes les plus utilisées au monde. D’après les chercheurs, cette manipulation fonctionnerait également avec Microsoft Edge.

L’équipe de chercheurs de Google a d’ores et déjà dévoilé tous les détails concernant cette faille, et cela malgré l’habituel délai de 90 jours laissé aux éditeurs pour les corriger. Malheureusement, cette règle tombe à l’eau lorsque la faille est déjà exploitée par des personnes malveillantes, et c’est le cas de cette nouvelle découverte, largement mise à profit par des hackers, d’après Google. La firme de Mountain View en a profité pour mettre à jour son navigateur web, mais ce n’est pas encore le cas de Microsoft, qui devrait distribuer son Patch Thuesday le 10 novembre prochain, lequel est habituellement proposé le second mardi de chaque mois. Microsoft Edge a, quant à lui, été mis à jour et débarrassé de cette vulnérabilité.

Acheter sur Amazon

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Mode