Microsoft qualifie de "décevante" la divulgation de l'exploit Windows Zero Day par Google et ne mentionne ostensiblement pas les milliards de téléphones Android non corrigés

Accueil » Microsoft

Icône de temps de lecture 4 minute. lis

Icône de calendrier Publié le

by Surur Davids 

publié sur

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus.

fenêtres 10

Google a récemment divulgué une vulnérabilité de 0 jour non corrigée dans Windows après avoir seulement donné à Microsoft 7 jours à compter de la notification pour publier un correctif.

Cela a entraîné la diffusion dans la nature des informations sur le piratage avant que Microsoft ne puisse développer un correctif, mettant en danger un milliard d'utilisateurs de Windows.

L'excuse de Google était que le trou était déjà activement exploité, mais dans une réponse aujourd'hui, le vice-président exécutif de Microsoft, Windows and Devices Group, Terry Myerson a défendu Microsoft et a exprimé sa déception face au comportement de Google.

Microsoft a expliqué que les exploits dans la nature étaient des attaques dites de "spear-phishing", c'est-à-dire. envoyé à des personnes spécifiques en faible volume, plutôt que d'être largement distribué au grand public.

De plus, les utilisateurs de Microsoft sur la dernière version de Windows 10, la mise à jour anniversaire de Windows 10, qui utilisent également Edge, étaient déjà protégés. En raison des efforts de Microsoft pour forcer le déploiement des mises à jour, qui s'avèrent désormais clairement être une bonne idée, déjà 76 % des utilisateurs de Windows 10 utilisent la dernière version, selon les données d'AdDuplex.

Terry a déclaré que Windows était la seule plate-forme à s'engager à enquêter sur les problèmes de sécurité signalés et à mettre à jour de manière proactive les appareils concernés dès que possible et a déclaré qu'un correctif était déjà en cours de test pour être publié le 8 novembre, c'est-à-dire Patch Tuesday.

Par implication, Terry a bien sûr suggéré que Google n'a pas pris au sérieux sa responsabilité envers les utilisateurs d'Android, avec un grand pourcentage d'utilisateurs d'Android sur des versions plus anciennes du système d'exploitation qui n'ont aucune mise à jour du système d'exploitation.

De plus, les utilisateurs de Windows peuvent noter qu'Edge offrait une défense en profondeur en mettant en œuvre des mesures d'intégrité du code et d'autres procédures de sécurité clairement non pratiquées par le navigateur Chrome de Google.

Microsoft a recommandé à tous les clients de passer à Windows 10, le qualifiant de système d'exploitation le plus sécurisé qu'ils aient jamais conçu, avec une protection avancée pour les consommateurs et les entreprises à chaque couche de la pile de sécurité.

La vision de Microsoft d'un milliard d'utilisateurs de Windows exécutant tous la toute dernière version du système d'exploitation, qui sont tous automatiquement mis à jour, signifie qu'au cours des prochaines années, Windows pourrait acquérir la réputation de système d'exploitation le plus sûr à utiliser.

Lisez le post complet de Terry Myerson ci-dessous:

Windows est la seule plate-forme dont le client s'engage à enquêter sur les problèmes de sécurité signalés et à mettre à jour de manière proactive les appareils concernés dès que possible. Et nous prenons cette responsabilité très au sérieux.

Récemment, le groupe d'activités que Microsoft Threat Intelligence appelle STRONTIUM a mené une campagne de harponnage à faible volume. Les clients utilisant Microsoft Edge sur la mise à jour anniversaire de Windows 10 sont connus pour être protégés contre les versions de cette attaque observées dans la nature. Cette campagne d'attaque, identifiée à l'origine par le groupe d'analyse des menaces de Google, utilisait deux vulnérabilités zero-day dans Adobe Flash et le noyau Windows de bas niveau pour cibler un ensemble spécifique de clients.

Nous nous sommes coordonnés avec Google et Adobe pour enquêter sur cette campagne malveillante et créer un correctif pour les versions inférieures de Windows. Dans ce sens, des correctifs pour toutes les versions de Windows sont actuellement testés par de nombreux acteurs de l'industrie, et nous prévoyons de les publier publiquement lors de la prochaine mise à jour du mardi 8 novembre.

Nous pensons que la participation responsable de l'industrie technologique place le client au premier plan et nécessite une divulgation coordonnée des vulnérabilités. La décision de Google de divulguer ces vulnérabilités avant que les correctifs ne soient largement disponibles et testés est décevante et expose les clients à un risque accru.

Pour faire face à ces types d'attaques sophistiquées, Microsoft recommande à tous ses clients de passer à Windows 10, le système d'exploitation le plus sécurisé que nous ayons jamais conçu, avec une protection avancée pour les particuliers et les entreprises à chaque couche de la pile de sécurité. Les clients qui ont activé Windows Defender Advanced Threat Protection (ATP) détecteront les tentatives d'attaques de STRONTIUM grâce aux analyses de détection de comportement génériques d'ATP et aux renseignements à jour sur les menaces.

-Terry

En savoir plus sur l'exploit et Les mesures d'atténuation de Microsoft ici.

Surur Davids

Surur Davids Shield

Expert en smartphones

Surur Davids est le fondateur de WMPoweruser qui deviendra plus tard MSPoweruser.com. C'est un expert en smartphones avec plus d'une décennie d'expérience.

Forum des utilisateurs

Messages 0