Triste retour à la case départ pour Microsoft. Une faille zero-day (CVE-2020-0986) dans une librairie d’impression de Windows (Printer Spooler API) a été mal corrigée et redevient… une faille zero-day. En effet, une chercheuse en sécurité de Google Project Zero a découvert que l’éditeur n’a pas évacué le problème de fond, à savoir un accès vulnérable à la mémoire du processus splwow64.exe.
« Microsoft a publié un patch en juin, mais ce patch n’a pas corrigé la vulnérabilité. Il suffit d’adapter l’attaque pour arriver au même résultat. Après avoir notifié ce mauvais patch en septembre, la faille n’est toujours pas corrigée après un délai de 90 jours », explique Maddie Stone sur Twitter.
Tous les détails techniques viennent donc d’être publiés sur la plate-forme de reporting de Google Project Zero, sous la référence CVE-2020-17008. Un correctif ne devrait pas arriver avant le 12 janvier prochain. Une histoire pas très glorieuse pour Microsoft, qui avait déjà laissé traîner cette affaire l’année dernière. Du coup, la faille avait été exploitée allègrement par des pirates, ce qui risque de se produire à nouveau.
Source : The Hacker News