L’humiliation continue. Il y a quelques jours, les chercheurs en sécurité de Google ont publié les détails techniques d’une faille zero-day dans le navigateur Edge, Microsoft ayant dépassé les délais de 90 jours fixés par le géant du web. Aujourd’hui, c’est rebelote. Ils viennent de publier une faille zero-day dans Windows 10 pour les mêmes raisons : le compte à rebours est arrivé à son terme.

La vulnérabilité en question n’est pas critique, mais quand même importante. Un bug dans un appel de procédure distant (SvcMoveFileInheritSecurity) permet de contourner les droits d’accès aux fichiers pour les rendre accessibles et modifiable par n’importe qui. A titre d’exemple, Google a fourni un code de démonstration permettant à un attaquant disposant des droits d’utilisateur de créer un fichier texte dans le répertoire Windows et de lui attribuer des droits de lecture/écriture pour tous.

Microsoft pensait faire d’une pierre deux coups

En réalité, cette faille est un cas particulier d’une autre faille que Google a trouvé dans la même fonction et que Microsoft a patché le 13 février. La firme de Redmond considérait que les deux vulnérabilités étaient identiques et pensait que ce patch allait suffire pour résoudre les deux problèmes. Malheureusement, ce n’est pas le cas. Les développeurs de Microsoft vont donc devoir se retrousser les manches une seconde fois.

En attendant, les pirates sont contents. Ils vont pouvoir profiter une nouvelle fois d’une faille zero-day bien documentée dans l’un des systèmes les plus déployés au monde.

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original