Microsoft a beau corriger ses vulnérabilités au moyen de patchs de sécurité distribués régulièrement, Windows continue d’alimenter les travaux des chercheurs en cybersécurité. Les chercheurs du Project Zero de Google viennent en effet de repérer une faille d’ampleur dans Windows 10, et de précédentes versions de l’OS de Microsoft. Cette faille zero-day repose sur la façon dont l’OS de Microsoft gère les fonctions cryptographiques. Plus concrètement, lorsqu’on exploite cette faille et qu’on la couple avec certaines vulnérabilités d’un navigateur web, cela permet à des hackers de prendre totalement le contrôle d’une machine.
Les chercheurs du Project Zero de Google se sont aperçus que les pirates utilisaient déjà cette faille de Windows, baptisée CVE-2020-17087, et la combinait avec une faille de Chrome. En enchaînant ces manipulations, les hackers ont pu exécuter du code malveillant à distance sur un ordinateur cible. Ce cocktail explosif peut être particulièrement dommageable, d’autant plus que le combo Windows 10 et Google Chrome reste l’une des recettes les plus utilisées au monde. D’après les chercheurs, cette manipulation fonctionnerait également avec Microsoft Edge.
L’équipe de chercheurs de Google a d’ores et déjà dévoilé tous les détails concernant cette faille, et cela malgré l’habituel délai de 90 jours laissé aux éditeurs pour les corriger. Malheureusement, cette règle tombe à l’eau lorsque la faille est déjà exploitée par des personnes malveillantes, et c’est le cas de cette nouvelle découverte, largement mise à profit par des hackers, d’après Google. La firme de Mountain View en a profité pour mettre à jour son navigateur web, mais ce n’est pas encore le cas de Microsoft, qui devrait distribuer son Patch Thuesday le 10 novembre prochain, lequel est habituellement proposé le second mardi de chaque mois. Microsoft Edge a, quant à lui, été mis à jour et débarrassé de cette vulnérabilité.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
