Google met à jour une faille zero-day de Windows

Google vient de dévoiler une nouvelle faille de Windows. De type zero-day, elle dispose d’un exploit permettant de la mettre en œuvre, et n’a pas été corrigée par Microsoft. Cette faille touche l’ensemble des OS desktops de la firme, de Windows Vista à Windows 10.

Google a attendu un délai de 90 jours avant de dévoiler les détails de cette faille de sécurité. Microsoft ayant reporté son Patch Tuesday, ce délai a été dépassé, sans que l’éditeur ait eu la possibilité de corriger le problème.

Un remake de la faille découverte en mars 2016

C’est Mateusz Jurczyk du Google Project Zero qui a mis à jour cette faille le 16 novembre 2016. Il s’agit en fait du même problème que celui découvert en mars 2016… et que Microsoft avait éliminé dans le cadre du bulletin de sécurité MS16-074 de juin 2016.

Ce bulletin de sécurité corrigeait les failles trouvées par les experts de Google dans la librairie gdi32.dll. Problème, ce patch est imparfait, et laisse des vulnérabilités exploitables. « Dans le cadre du MS16-074, certains des bogues ont effectivement été corrigés, explique Mateusz Jurczyk. Cependant, nous avons découvert que tous les problèmes liés aux DIB (device-independent bitmaps) n’étaient pas disparus. »

Des mesures seront très probablement mises en œuvre afin de contrer les effets de cette faille dans les navigateurs web Chrome et Chromium. Dans l’attente d’un correctif de la part de Microsoft.

À lire aussi :
Google Chrome 56 renforce sa sécurité et corrige ses failles
36 failles critiques corrigées dans Flash, dont une active
Oracle corrige les failles de ses produits… et de Java

Crédit photo : © Maksim Kabakou – Shutterstock