Microsoft confirme un probleme de sécurité avec windows 7

Catégorie: | Tags: Non classé

 

Microsoft a confirmé l’existence d’une faille de non corrigée dans le protocole SMB de Windows 7 et Windows Server 2008 R2. L’éditeur reproche au chercheur Laurent Gaffié d’avoir révélé publiquement ce problème de sécurité.

 Un chercheur en sécurité, Laurent Gaffié, a publié une preuve de concept sur Full Disclosure afin de démontrer la présence d'une vulnérabilité dans Windows 7 et Windows Server 2008.

Microsoft indiquait évaluer le probleme. Quelques jours plus tard, l'éditeur a émis une alerte pour confirmer l'existence de cette vulnérabilité, lorsqu'elle étais exploitée permettez de provoquer un déni de service (ou attaque par saturation )sur un ordinateur vulnérable.

Microsoft rappelle son opposition au Full Disclosure

Selon Microsoft, la faille de sécurité découverte par Laurent Gaffié ne permet pas de prendre le contrôle d'un ordinateur à distance ou d'installer du code malveillant. Aucune attaque exploitant ce bug de Windows n'a pour l'instant été identifiée indique l'éditeur sur son site Internet. Un correctif est actuellement en cours de développement.

Si les travaux de Laurent Gaffié ont permis à Microsoft d'identifier une faiblesse dans le code de son logiciel, l'éditeur lui reproche néanmoins sa méthode de divulgation, non-responsable. D'après la firme de Redmond, la divulgation publique expose les utilisateurs à des risques.

Microsoft encourage les développeurs et chercheurs à lui signaler directement l'existence de failles de sécurité. Cela lui permet ainsi de concevoir un correctif sans que les utilisateurs soient exposés à des attaques.

Toutefois, si des chercheurs pratiquent le full-disclosure, ou divulgation totale, c'est aussi afin d'éviter que les éditeurs concernés dissimulent la présence de failles (qui peuvent ternir leur image) et ne les corrigent pas promptement, laissant les utilisateurs dans l'ignorance et vulnérables.

Catégorie: