Sortie Windows 7 Le dossier complet
par Christophe Auffray, ZDNet France.
Tags: Windows 7, Sécurité, Système
d'exploitation, Windows Server, Microsoft,
confirmer, détecter, full disclosure,
disclosure, évaluer
Sécurité - Microsoft a confirmé l'existenced'une faille non corrigée dans le protocole
SMB de Windows 7 et Windows
Server 2008 R2.
L'éditeur reproche au chercheur
Laurent Gaffié d'avoir révélé
publiquement ce problème de sécurité.
En début de semaine dernière,
un chercheur en sécurité, Laurent Gaffié,
avait publié une preuve de concept sur
Full Disclosure afin de démontrer
la présence d'une vulnérabilité dans
Windows 7 et Windows Server 2008.
Mercredi 11 novembre, Microsoft indiquait
évaluer la faille. Quelques jours plus tard,
l'éditeur a émis une alerte pour confirmer
l'existence de cette vulnérabilité,
qui exploitée permet de provoquer
un déni de service sur un ordinateur vulnérable.
Microsoft rappelle son opposition
au Full Disclosure
Selon Microsoft, la faille de sécurité
découverte par Laurent Gaffié ne permet
pas de prendre le contrôle d'un ordinateur
à distance ou d'installer du code malveillant.
Aucune attaque exploitant ce bug de
Windows n'a pour l'instant été identifiée
indique l'éditeur sur son site Internet.
Un correctif est actuellement
en cours de développement.
Si les travaux de Laurent Gaffié ont permis
à Microsoft d'identifier une faiblesse
dans le code de son logiciel, l'éditeur
lui reproche néanmoins sa méthode
de divulgation, non-responsable.
D'après la firme de Redmond,
la divulgation publique expose
les utilisateurs à des risques.
Microsoft encourage les développeurs
et chercheurs à lui signaler directement
l'existence de failles de sécurité.
Cela lui permet ainsi de concevoir
un correctif sans que les utilisateurs
soient exposés à des attaques.
Toutefois, si des chercheurs pratiquent
le full-disclosure, ou divulgation totale,
c'est aussi afin d'éviter que les éditeurs
concernés dissimulent la présence
de failles (qui peuvent ternir leur image)
et ne les corrigent pas promptement,
laissant les utilisateurs dans
l'ignorance et vulnérables.
Christophe Auffray, ZDNet France.Link here
--
J-L K
Sent from Kigali, Rwanda
No comments:
Post a Comment