Google révèle une faille 0-day dans Windows
Google annonce qu'une faille 0-day est présente au sein de Windows et puisque Microsoft ne l'a pas corrigée dans le temps imparti, le géant américain a décidé de publier les informations au sujet de cette faille critique.
La faille révélée par l'équipe de recherche de Google Project Zero est exploitée actuellement dans le cadre d'attaques qui visent le système d'exploitation Windows, combinée à une autre faille critique présente dans Chrome. En fait, un correctif pour cette vulnérabilité sera déployé dans le prochain Patch Tuesday qui sortira le mardi 10 novembre. De son côté, Google a corrigé la vulnérabilité qui touche Chrome au sein de la version 86.0.4240.111 du navigateur.
Finalement, l'attaque s'effectue en deux étapes : d'abord en exploitant une vulnérabilité dans Chrome qui permettait d'exécuter du code malveillant, puis ensuite la vulnérabilité dans Windows qui permet de sortir du conteneur sécurisé du navigateur. Nous parlerons alors d'une fuite dans la sandbox.
Pourquoi Google a-t-il dévoilé la faille de Windows ? En fait, les équipes de recherches ont prévenu Microsoft et ont laissé 7 jours à la firme de Redmond pour corriger cette faille. Puisque Microsoft n'a pas corrigé et déployé le patch dans les 7 jours, Google a révélé cette faille 0-day. Dans son rapport, Google intègre une proof of concept pour prouver que la vulnérabilité existe et qu'elle est exploitable. D'ailleurs, celle-ci touche le noyau de toutes les versions de Windows, à partir de Windows 7 et jusqu'à la toute dernière version de Windows 10 (20H2). Reste à voir si Microsoft publiera un correctif pour Windows 7 puisque ce système n'est plus sous support.
Remarque : la faille Windows est référencée sous le nom CVE-2020-17087 alors que la faille Chrome quant à elle hérite du nom CVE-2020-15999.