Passer au contenu

Windows : une faille zero-day a été mal patchée en juin et peut toujours être exploitée par des pirates

Pour la seconde fois, Microsoft traîne la patte pour corriger une faille dans une librairie d’impression. Un joli cadeau de Noël pour les pirates.

Triste retour à la case départ pour Microsoft. Une faille zero-day (CVE-2020-0986) dans une librairie d’impression de Windows (Printer Spooler API) a été mal corrigée et redevient… une faille zero-day. En effet, une chercheuse en sécurité de Google Project Zero a découvert que l’éditeur n’a pas évacué le problème de fond, à savoir un accès vulnérable à la mémoire du processus splwow64.exe.

« Microsoft a publié un patch en juin, mais ce patch n’a pas corrigé la vulnérabilité. Il suffit d’adapter l’attaque pour arriver au même résultat. Après avoir notifié ce mauvais patch en septembre, la faille n’est toujours pas corrigée après un délai de 90 jours », explique Maddie Stone sur Twitter.

Tous les détails techniques viennent donc d’être publiés sur la plate-forme de reporting de Google Project Zero, sous la référence CVE-2020-17008. Un correctif ne devrait pas arriver avant le 12 janvier prochain. Une histoire pas très glorieuse pour Microsoft, qui avait déjà laissé traîner cette affaire l’année dernière. Du coup, la faille avait été exploitée allègrement par des pirates, ce qui risque de se produire à nouveau.

Source : The Hacker News

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN