Microsoft corrige une faille de Windows qui avait été révélée par Google

Google avait publié en début de mois une vulnérabilité affectant Windows alors que Microsoft ne comptait pas la corriger immédiatement. C'est désormais chose faite.

Le torchon a brulé entre Google et Microsoft, chacun accusant l'autre de mettre en danger les utilisateurs de Windows. En début de mois, Google avait en effet décidé de révéler l'existence de vulnérabilités affectant à la fois Flash et Windows. C'était conforme à sa politique : les deux éditeurs Adobe et Microsoft avaient été alertés de ces failles, et, avant qu'elles ne soient divulguées, ils avaient 7 jours pour les corriger. Ce qu'Adobe a fait, mais pas Microsoft dans le laps de temps imparti.

Aujourd'hui, la faille de Windows pointée du doigt par Google est désormais corrigée. Microsoft a donc préféré prendre son temps, et proposer la rustine dans son habituelle série de correctifs mensuelle (le Patch Tuesday). Sa publication est intervenue le 9 novembre, c'est-à-dire plus de deux semaines après que Microsoft ait été informé de la faille par Google.

Google avait pourtant bien mis l'accent sur la dimension selon lui "critique" de la faille, qui était aussi activement exploitée. De son côté, Microsoft a reconnu qu'un groupe de pirates, appelé Strontium (ou Fancy Bears ou APT28), réalisait des attaques ciblées en exploitant la vulnérabilité en question. Il a cependant contesté sa criticité.

Microsoft a également critiqué la méthode employée par Google. Dans un billet, il tire à boulets rouges sur l'attitude de Google qui aura "accru le danger" pesant sur les utilisateurs de Windows en dévoilant publiquement une faille non-corrigée. L'éditeur de Windows aurait préféré une approche différente, et "coordonnée", avant de divulguer la faille.

Microsoft / Windows