Partager la publication "Une faille 0-day touche Windows sans réaction rapide de Microsoft"
Alors que l’éditeur est alerté depuis plusieurs semaines, Microsoft n’a toujours pas comblé pas une faille 0-day qui touche Windows 7.
Les failles de sécurité dans les systèmes d’exploitation ou les programmes existent et les éditeurs réagissent assez vite généralement lorsqu’elles sont découvertes. Pourtant, Microsoft semble rester inactif à une faille 0-day découverte il y a plus de trois mois et potentiellement dangereuse.
Windows 7 et peut-être les autres
Pour rappel, une faille ou vulnérabilité 0-day est une vulnérabilité d’un programme n’ayant pas été rendue publique auparavant et n’ayant pas de correctif palliatif ou définitif connu. Cette mention ne précise pas le degré de gravité de la faille découverte ni ce qu’elle permet de faire.
Celle du jour, dévoilée par le site Zero Day Initiative, date en réalité de plus de trois mois. Et à l’instar du Google Project Zero, Zero Day Initiative prévient, logiquement, en premier lieu l’éditeur concerné en cas de découverte d’une faille. Mais lorsque celui-ci ne réagit pas, la faille est rendue publique après un délai de 120 jours. C’est ce qui vient de se passer.
Selon les experts de Zero Day Initiative, cette faille touche le fonctionnement de la base de données JET Database Engine sur Windows 7, mais les versions plus récentes de Windows, y compris les versions Server, pourraient être aussi exposées à cette faille. Cette faille permettrait aux pirates d’exécuter du code localement puis, par la suite, d’installer et d’exécuter des programmes à distance en utilisant des fichiers au format JET.
Zero Day Initiative précise tout de même que Microsoft travaille sur patch pour cette faille et qu’ils espèrent que la prochaine vague de correctifs pour Windows corrigera la faille. Ils recommandent, bien évidemment, d’être méfiants sur les sources non sûres pouvant expédier de tels fichiers.
Certaines failles de sécurité sont encore bien plus vieilles et toujours actives comme celles qui touchent certains PC portables.
Une de plus ou une de moins ….