Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Première faille critique confirmée pour Windows 7

Sécurité - Microsoft a confirmé l’existence d’une faille non corrigée dans le protocole SMB de Windows 7 et Windows Server 2008 R2. L’éditeur reproche au chercheur Laurent Gaffié d’avoir révélé publiquement ce problème de sécurité.

En début de semaine dernière, un chercheur en sécurité, Laurent Gaffié, avait publié une preuve de concept sur Full Disclosure afin de démontrer la présence d’une vulnérabilité dans Windows 7 et Windows Server 2008.

Mercredi 11 novembre, Microsoft indiquait évaluer la faille. Quelques jours plus tard, l’éditeur a émis une alerte pour confirmer l’existence de cette vulnérabilité, qui exploitée permet de provoquer un déni de service sur un ordinateur vulnérable.

Microsoft rappelle son opposition au Full Disclosure

Selon Microsoft, la faille de sécurité découverte par Laurent Gaffié ne permet pas de prendre le contrôle d’un ordinateur à distance ou d’installer du code malveillant. Aucune attaque exploitant ce bug de Windows n’a pour l’instant été identifiée indique l’éditeur sur son site Internet. Un correctif est actuellement en cours de développement.

Si les travaux de Laurent Gaffié ont permis à Microsoft d’identifier une faiblesse dans le code de son logiciel, l’éditeur lui reproche néanmoins sa méthode de divulgation, non-responsable. D’après la firme de Redmond, la divulgation publique expose les utilisateurs à des risques.

Microsoft encourage les développeurs et chercheurs à lui signaler directement l’existence de failles de sécurité. Cela lui permet ainsi de concevoir un correctif sans que les utilisateurs soient exposés à des attaques.

Toutefois, si des chercheurs pratiquent le full-disclosure, ou divulgation totale, c’est aussi afin d’éviter que les éditeurs concernés dissimulent la présence de failles (qui peuvent ternir leur image) et ne les corrigent pas promptement, laissant les utilisateurs dans l’ignorance et vulnérables.

Par Christophe Auffray, ZDNet France. Publié le 16 novembre 2009

(Source :zdnet)