Google accuse Microsoft d'avoir révélé les exploits de Windows 7 avec les correctifs de Windows 10

Accueil » Microsoft

Icône de temps de lecture 2 minute. lis

Icône de calendrier Mis à jour le

by Surur Davids 

mis à jour le

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Il semble que certains jours, vous ne pouvez tout simplement pas gagner. Microsoft a fait preuve de diligence pour mettre à jour Windows 10 avec des corrections de bogues et des améliorations, et maintenant l'équipe de sécurité Project Zero de Google s'est plainte que cela laisse Windows 7 et Windows 8 vulnérables aux exploits révélés par le processus.

Le problème est dû au fait que Windows 7 et Windows 10 partagent la même base de code, mais les correctifs de bogues sont d'abord et rapidement déployés sur Windows 10, et seulement plus tard sur Windows 7 et 8, permettant aux pirates de comparer le code et de détecter les modifications, ce qui peut révéler les spécificités du bogue corrigé et la vulnérabilité de l'ancienne version non corrigée du système d'exploitation.

"Microsoft est connu pour avoir introduit un certain nombre d'améliorations structurelles de la sécurité et parfois même des corrections de bogues ordinaires uniquement sur la plate-forme Windows la plus récente», a déclaré Mateusz Jurczyk, chercheur à Google Project Zero. "Cela crée un faux sentiment de sécurité pour les utilisateurs des anciens systèmes et les rend vulnérables aux failles logicielles qui peuvent être détectées simplement en repérant des changements subtils dans le code correspondant dans différentes versions de Windows."

Jurczyk prétend avoir trouvé plusieurs exploits zero-day utilisant cette technique, comme une divulgation de mémoire du noyau non initialisée, qui peut être utilisée pour contourner l'ASLR du noyau.

"Cela est particulièrement vrai pour les classes de bogues avec des correctifs évidents, tels que la divulgation de la mémoire du noyau et les appels memset ajoutés", a-t-il noté.

"Nous espérons qu'il s'agit de quelques-uns des rares cas où de tels 'fruits à portée de main' sont accessibles aux chercheurs via la différenciation", conclut-il. "Et nous encourageons les éditeurs de logiciels à s'en assurer en appliquant des améliorations de sécurité de manière cohérente sur toutes les versions prises en charge de leurs logiciels."

Dans une déclaration Microsoft a clairement indiqué qu'il préférerait que tous les utilisateurs de Windows utilisent simplement la même version du système d'exploitation, en disant :

"Windows s'engage auprès de ses clients à enquêter sur les problèmes de sécurité signalés et à mettre à jour de manière proactive les appareils concernés dès que possible. De plus, nous investissons continuellement dans une sécurité de défense en profondeur et recommandons aux clients d'utiliser Windows 10 et le navigateur Microsoft Edge pour la meilleure protection.

La source: Projet Zéro de Google, via Winbuzzer.com

En savoir plus sur les sujets : projet google zéro, microsoft, sécurité, fenêtres 10, fenêtres 7

Surur Davids

Surur Davids bouclier

Expert en smartphones

Surur Davids est le fondateur de WMPoweruser qui deviendra plus tard MSPoweruser.com. C'est un expert en smartphones avec plus d'une décennie d'expérience.