Google vient de révéler les détails d’une vulnérabilité jusque-là non divulguée dans Windows, dont les pirates exploitent activement. En conséquence, Google n’a donné à Microsoft qu’une semaine pour corriger la vulnérabilité. Cette date limite atteint, Google a publié les détails de la vulnérabilité.

La vulnérabilité n’a pas de nom mais est étiquetée CVE-2020-17087 et affecte au moins Windows 7 et Windows 10.

Project Zero de Google, le groupe d’élite des chasseurs de bugs de sécurité qui ont fait la découverte, précise que le bug permettait à un attaquant d’élever son niveau d’accès utilisateur dans Windows. Les attaquants utilisent la vulnérabilité Windows en conjonction avec un bug distinct dans Chrome, que Google a révélé et corrigé la semaine dernière. Ce nouveau bug permet à un attaquant d’échapper au filet de Chrome, normalement isolé des autres applications, et d’exécuter des logiciels malveillants sur le système d’exploitation.

Dans un tweet, le responsable technique de Project Zero, Ben Hawkes, a déclaré que Microsoft prévoyait de publier un correctif le 10 novembre.

Microsoft n’a pas confirmé cette date de manière indépendante, mais a déclaré dans un communiqué que Microsoft s’est engagé à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils concernés pour protéger les clients.

Mais on ne sait pas qui sont les attaquants ni leurs motivations. Le directeur du renseignement sur les menaces de Google, Shane Huntley, a déclaré que les attaques étaient ciblées et non liées aux élections américaines.

Un porte-parole de Microsoft a également ajouté que l’attaque signalée est de nature très limitée et qu’aucune preuve indiquant une utilisation généralisée.

C’est la dernière d’une liste de failles majeures affectant Windows cette année. Microsoft a déclaré en janvier que l’Agence de sécurité nationale avait aidé à trouver un bug cryptographique dans Windows 10, bien qu’il n’y ait aucune preuve d’exploitation. Mais en juin et septembre, la sécurité intérieure a émis des alertes sur deux problèmes Windows , l’un qui avait la capacité de se propager sur Internet, et l’autre aurait pu obtenir un accès complet à tout un réseau Windows.