Google détaille une nouvelle vulnérabilité non patchée dans Windows 7 et 8.1

Alors que Microsoft a publiquement critiqué Google pour la publication d'une vulnérabilité affectant Windows, la firme de Mountain View vient de partager des informations sur une nouvelle faille.

La semaine dernière nous rapportions que Microsoft lançait un appel afin que les experts en sécurité des grandes sociétés s'accordent sur la divulgation des vulnérabilités dans leurs applications et logiciels respectifs. La firme de Redmond ajoutait que Google, notamment, avait divulgué des détails sensibles sur une faille affectant Windows 8.1 deux jours avant la mise à disposition d'un correctif et ce, malgré les demandes formulées par Microsoft.

Google semble avoir fait la sourde oreille et vient de publier les détails d'une autre faille au sein de Windows 7 et Windows 8.1 en version 32 et 64 bit. Cette dernière affecte la fonction CryptProtectMemory et permet à un hacker de déchiffrer puis chiffrer les données durant la session de connexion d'un compte. Google a mis à disposition un fichier permettant d'exploiter cette vulnérabilité.

Microsoft a été mis au courant de cette faille au 29 octobre et a confirmé avoir pu reproduire ce mécanisme. Le chercheur de Google explique que l'éditeur aurait dû publier un correctif lors du Patch Tuesday de janvier, mais des problèmes de compatibilité identifiés à la dernière minute ont repoussé la publication de ce dernier au mois prochain.

Ces travaux de recherche sont une fois de plus assujettis à la politique de Google. Le message stipule ainsi : « Si au bout de 90 jours il n'y a pas eu de patch globalement déployé, alors ce rapport de bug sera automatiquement visible au public ».

En attendant, cette faille peut donc être exploitée par une personne malveillante. Notons que c'est le même chercheur de Google qui a pris la responsabilité de publier ces nouvelles informations. Reste à savoir si Microsoft réagira à nouveau.