Microsoft envoie paître le chercheur en sécurité Long Zheng. Après avoir critiqué publiquement Windows 7 et son composant de sécurité User Account Control (UAC), le chercheur se voit opposer une fin de non-recevoir.
Techniquement, l’expert suggérait que les fonctions d’avertissement de l’UAC pouvaient être contournées et même désactivées par un code malveillant. Un aspect non-vulnérable répond Microsoft.
Interrogé par un de nos confrères de Vnunet.com, un porte-parole a confirmé que le problème n’était pas, à proprement dit, une vulnérabilité. Il explique : « L’UAC est configuré par défaut de sorte que les utilisateurs ne soient pas notifiés en cas de modification des paramètres Windows. Ceci inclut également le changement du niveau de notification de l’UAC« . Traduction, selon l’éditeur, il faudrait que le pirate se soit déjà introduit dans le système pour qu’il puisse utiliser ce défaut.
Long Zheng critiquait le silence de Microsoft face à sa découverte. Après cette réponse, il s’est à nouveau exprimé. « N’oublions pas que dans le cas d’une application avec des privilèges faibles, l’utilisateur ne reçoit aucun avertissement d’aucune sorte. Comment une application avec des privilèges faibles pourrait-elle désactiver la totalité de la couche de sécurité s’il ne s’agit pas d’une faille de sécurité ? »
Outre le débat sémantique de savoir si faille il y a ou non, l’éditeur annonce avoir apporté des changements compte tenu des informations de l’expert.
Reste à savoir qui des deux veut avoir raison, et le dernier mot. Toujours est-il que la version bêta de Windows 7 est encore téléchargeable jusqu’au 10 février. Histoire d’avoir encore le temps de trouver encore d’autres « problèmes ».
A lire : Première version bêta de Windows 7 : le test
__(publicité)________________
Audio-Cast Virtualisation Microsoft-Novell Vous souhaitez plus d’informations sur l’optimisation des ressources ? Découvrez comment améliorer la souplesse des centres de données grâce aux solutions Microsoft-Novell de virtualisation à sources mixtes.
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…