En résumé:
- PCWorld rapporte que le correctif de Microsoft pour CVE-2025-60718 dans Windows 11 reste incomplet malgré le projet Zero de Google identifiant le correctif insuffisant.
- La vulnérabilité affecte la fonction de protection de l’administrateur et permet une élévation de privilèges lorsque des pirates informatiques accèdent physiquement à l’ordinateur.
- Microsoft n’a pas répondu aux conclusions détaillées de Google, laissant la faille de sécurité sans réponse malgré la nature incomplète du correctif d’origine.
Le 12 novembre, Microsoft a affirmé avoir corrigé CVE-2025-60718, une faille de sécurité dans Windows 11 signalée par la division de sécurité Project Zero de Google.
Mais aujourd’hui, Project Zero affirme que Microsoft l’a fait. pas réussi à remédier pleinement à la vulnérabilité. En fait, Project Zero a rédigé peu après une réponse détaillée expliquant plus en profondeur pourquoi le « correctif » était problématique et les différents facteurs impliqués.
En bref, la vulnérabilité de sécurité en question est un bug de la fonction de protection de l’administrateur, qui permet à un pirate informatique d’exécuter du code malveillant s’il peut accéder physiquement à l’ordinateur :
Le suivi explique le problème avec le prétendu correctif :
En outre:
Ce qui est étonnant, c’est que Microsoft a affirmé avoir résolu le problème le 12 novembre, puis Google a effectué ce suivi détaillé une semaine plus tard, le 19 novembre, avec un autre suivi le lendemain, le 20 novembre. Pourtant, Microsoft l’a complètement ignoré, sans aucune réponse de sa part, sans même reconnaître le correctif incomplet.
Bien que le risque de dommage soit considéré comme faible, nous espérons que Microsoft examinera de plus près la description détaillée de Google et mettra en œuvre les correctifs nécessaires pour résoudre correctement ce qu’ils prétendent avoir corrigé.
