Google dévoile une nouvelle faille Zero Day ... et courrouce Microsoft

Par:
fredericmazue

lun, 12/01/2015 - 16:17

Fin décembre dernier, Google a dévoilé une faille Zero Day de Windows 8.1, permettant une élévation de privilège. Ceci dans le cadre de son Project Zero. La faille, signalée à Microsoft et n'ayant pas été corrigée dans les 90 jours, elle a été dévoilée, accompagnée du code permettant de l'exploiter, selon la politique du Project Zero. Microsoft n'avait alors pas réagi autrement qu'en disant que la faille sera corrigée très prochainement.

Mais Google vient de récidiver, en mettant hier dans le domaine public, une faille connue depuis le 13 octobre. que Microsoft n'a pas encore comblée. Là encore, il s'agit d'une faille permettant une élévation de privilège, au moyen de la simple création de clés dans la base de registre de Windows 8.1.

Cette fois, Microsoft a exprimé son mécontentement. Mécontentement d'autant plus grand que cette faille sera comblée dans le Tuesday Patch de demain mardi 13 janvier. Mais Google n'a pas voulu faire preuve de la moindre souplesse.

Microsoft a donc exprimé son mécontentement à travers un long billet de blog de Chris Betz, qui justifie le temps mis par Microsoft pour la publication d'un correctif par la nécessité d'évaluer pleinement la vulnérabilité et d'évaluer le large paysage des menaces dans laquelle peut s'inscrire cette faille.

Ce qui dans un sens se comprend, mais on peut aussi contre-argumenter que 90 jours c'est long, pour ce faire.

Pour Microsoft, Google n'est pas forcément très bien intentionné avec son Project Zero

"Google a publié des informations sur une vulnérabilité dans un produit Microsoft, deux jours avant la publication du correctif dans le Patch Tuesday de mardi 13 janvier, malgré notre demande qu'ils ne le fassent pas. [...]  Cette décision semble moins une affaire de principes qu'une chasse aux sorcières dont les clients peuvent subir les conséquences. Ce qui est bon pour Google nest pas toujours bon pour les clients." écrit ainsi Chris Betz.

Pour que les choses soient bien claires, il ajoute : "Nous ne pensons pas qu'il serait convenable que nos chercheurs découvrent des vulnérabilités dans les produits de nos concurrents, leur fassent subir une pression pour qu'ils les corrigent sous un certain laps de temps et sinon publient les informations permettant que les vulnérabilités soient exploitées et leurs clients attaqués avant la publication d'un correctif ".