Faille de Windows 7 : la réponse de Microsoft
Microsoft envoie paître le chercheur en sécurité Long Zheng. Après avoir critiqué publiquement Windows 7 et son composant de sécurité User Account Control (UAC), le chercheur se voit opposer une fin de non-recevoir.
Techniquement, l'expert suggérait que les fonctions d'avertissement de l'UAC pouvaient être contournées et même désactivées par un code malveillant. Un aspect non-vulnérable répond Microsoft.
Interrogé par un de nos confrères de Vnunet.com, un porte-parole a confirmé que le problème n'était pas, à proprement dit, une vulnérabilité. Il explique : « L'UAC est configuré par défaut de sorte que les utilisateurs ne soient pas notifiés en cas de modification des paramètres Windows. Ceci inclut également le changement du niveau de notification de l'UAC« . Traduction, selon l'éditeur, il faudrait que le pirate se soit déjà introduit dans le système pour qu'il puisse utiliser ce défaut.
Long Zheng critiquait le silence de Microsoft face à sa découverte. Après cette réponse, il s'est à nouveau exprimé. « N'oublions pas que dans le cas d'une application avec des privilèges faibles, l'utilisateur ne reçoit aucun avertissement d'aucune sorte. Comment une application avec des privilèges faibles pourrait-elle désactiver la totalité de la couche de sécurité s'il ne s'agit pas d'une faille de sécurité ? »
Outre le débat sémantique de savoir si faille il y a ou non, l'éditeur annonce avoir apporté des changements compte tenu des informations de l'expert.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Reste à savoir qui des deux veut avoir raison, et le dernier mot. Toujours est-il que la version bêta de Windows 7 est encore téléchargeable jusqu'au 10 février. Histoire d'avoir encore le temps de trouver encore d'autres « problèmes ».
A lire : Première version bêta de Windows 7 : le test
__(publicité)________________
Audio-Cast Virtualisation Microsoft-Novell Vous souhaitez plus d'informations sur l'optimisation des ressources ? Découvrez comment améliorer la souplesse des centres de données grâce aux solutions Microsoft-Novell de virtualisation à sources mixtes.
Sur le même thème
Voir tous les articles Cybersécurité