Alors qu’il a repoussé le traditionnel Patch Tuesday du mois, Microsoft doit faire face à la révélation par Google d’une faille de type 0-Day affectant son système d’exploitation Windows.
Microsoft livre traditionnellement de nouvelles mises à jour pour ses systèmes Windows le 2ème mardi de chaque mois. Cela n’a pas été le cas ce mois-ci suite à la découverte d’un problème à la dernière minute. Les correctifs de février sont donc reportés à mars 2017.
Dans le même temps, Google publie via son ZDI (Zero Day Initiative) les détails d’une faille liée à la GDI (Graphic Device Interface) et plus précisément au fichier gdi32.dll
. Cette faille avait une première fois fait l’objet d’un rapport le 9 juin 2016 et été corrigée 6 jours après par la firme de Redmond.
Le ZDI alerte à nouveau Microsoft à ce sujet le 16 novembre dernier, indiquant que certains cas n’ont pas été pris en compte dans le correctif. Conformément à sa politique, la ZDI a publié publiquement les informations sur la faille en question 2 mois après.
Le hic, c’est que cette faille n’est toujours pas corrigée par Microsoft et qu’en plus, la ZDI livre les détails permettant aux personnes malveillantes d’en tirer profit.
Cette divulgation est toutefois quelque peu atténuée par le fait que la vulnérabilité en question nécessite d’accéder physiquement à une machine Windows pour être exploitée.