Publié par : Papy40 | 07/02/2017

Faille de sécurité dans Windows : Microsoft peine à tenir ses délais

 

Source : ZDNet

Sécurité : Le CERT US alertait la semaine dernière au sujet d’une faille affectant toute les versions de Windows 10 et jugée sévère car exploitée par des cybercriminels. Microsoft a fini par apporter plus de précision sur l’étendue de cette vulnérabilité, mais s’est fait prier.

Mercredi dernier, le CERT US publiait un avertissement faisant état d’une faille de sécurité critique affectant le protocole SMB. Cette vulnérabilité permettait selon le CERT d’exécuter du code malveillant sur toutes les versions de Windows, ainsi que sur Windows 10 la dernière version du logiciel.

Selon le CERT, cette faille affectait le protocole SMB, un protocole utilisé par toutes les versions de Windows pour le partage de ressources et d’imprimantes. Cette annonce a initialement été publiée par le CERT jeudi 2 février et le groupe de chercheurs lui attribuait alors un score de sévérité de 10, soit le plus haut.

Réponse de Microsoft ? Utilisez Windows 10

Microsoft n’avait de son côté pas encore publié le correctif lié à cette faille, dont un exploit avait initialement été présenté par le chercheur à l’origine de la découverte. Ce score a finalement été réduit à 7,8 : la faille ne permettait pas d’exécuter du code malveillant, mais pouvait causer un crash de la machine cible dans certaines configurations exposant un serveur de partage de fichier sur internet.

Cette vulnérabilité a été découverte en septembre dernier par le chercheur Laurent Gaffié. Celui-ci explique à Ars Technica avoir identifié et communiqué à Microsoft cette vulnérabilité en septembre dernier. Celle-ci devait initialement être corrigée dans les patchs de décembre avant d’être finalement repoussée à février. Un délai qui a fortement déplu au chercheur : comme il l’explique dans un mail adressé à Ars Technica, il a finalement décidé de publier les détails de la faille une semaine avant le patch afin de protester contre le temps pris par Microsoft pour corriger ce problème.

Mais si l’annonce du CERT US avait de quoi inquiéter, la communication de Microsoft à l’égard de la faille est restée bien minime. Publié jeudi, suite à l’annonce du CERT US, ce communiquait précisait simplement que Microsoft est le seul éditeur "qui s’engage auprès de ses clients à enquêter sur les failles de sécurité qui lui sont communiquées et à les corriger au plus vite", tout en recommandant à ses utilisateurs d’utiliser Windows 10.

Une réponse assez maigre, surtout quand on sait que la faille en question affecte aussi bien Windows 10 que les autres versions de l’OS. Correctif retardé, communication obscure : le bilan de Microsoft est peu reluisant.

Publicités

Catégories