Faille de Windows 7 : la réponse de Microsoft
Microsoft rejette l’hypothèse d’une faille au niveau de son composant UAC, malgré les allégations du chercheur en sécurité Long Zheng.
A la suite d’un premier article diffusé par Vnunet.com, Microsoft a répondu à une critique publique concernant son composant de sécurité User Account Control (UAC.) Un porte-parole a confirmé à nos confrères que le problème signalé n’était pas considéré comme une vulnérabilité du logiciel du point de vue de l’éditeur.
« L’UAC est configuré par défaut de sorte que les utilisateurs ne soient pas notifiés en cas de modification des paramètres Windows », a déclaré le porte-parole. « Ceci inclut également le changement du niveau de notification de l’UAC. »
Ces déclarations font suite à la publication d’une note rédigée par le chercheur Long Zheng, qui suggère que les fonctions d’avertissement de l’UAC peuvent être contournées et même désactivées par du code malveillant.
Mais selon Microsoft, pour qu’un tel cas de figure se présente, il faudrait que le pirate se soit déjà introduit dans le système. « Il n’y a qu’un seul moyen de modifier ce niveau sans en informer l’utilisateur, et ceci passe par un code malveillant déjà introduit dans le système », explique le porte-parole. « Et pour qu’un code malveillant se soit introduit, il faut une autre faille (ou que l’utilisateur donne explicitement son consentement). »
Dans sa note originale, Long Zheng reprochait à Microsoft d’ignorer le problème. Dimanche, le chercheur a publié une autre note pour répondre à des déclarations faites par l’éditeur.
« L’argument de Microsoft est entièrement fondé sur l’utilisateur, ce que j’accepte dans une certaine mesure : ils doivent au préalable télécharger et exécuter une application malveillante. Mais n’oublions pas que dans le cas d’une application avec des privilèges faibles, l’utilisateur ne reçoit aucun avertissement d’aucune sorte », écrit-il. « Comment une application avec des privilèges faibles pourrait-elle désactiver la totalité de la couche de sécurité s’il ne s’agit pas d’une faille de sécurité ?
L’éditeur n’a pas précisé si les suggestions de Long Zheng seront prises en compte ou non, mais le porte-parole a déclaré que « Microsoft a reçu des commentaires sur le comportement de notification de l’UAC et a apporté des changements compte tenu de ces informations. »
A la suite d’un premier article diffusé par Vnunet.com, Microsoft a répondu à une critique publique concernant son composant de sécurité User Account Control (UAC.) Un porte-parole a confirmé à nos confrères que le problème signalé n’était pas considéré comme une vulnérabilité du logiciel du point de vue de l’éditeur.
« L’UAC est configuré par défaut de sorte que les utilisateurs ne soient pas notifiés en cas de modification des paramètres Windows », a déclaré le porte-parole. « Ceci inclut également le changement du niveau de notification de l’UAC. »
Ces déclarations font suite à la publication d’une note rédigée par le chercheur Long Zheng, qui suggère que les fonctions d’avertissement de l’UAC peuvent être contournées et même désactivées par du code malveillant.
Mais selon Microsoft, pour qu’un tel cas de figure se présente, il faudrait que le pirate se soit déjà introduit dans le système. « Il n’y a qu’un seul moyen de modifier ce niveau sans en informer l’utilisateur, et ceci passe par un code malveillant déjà introduit dans le système », explique le porte-parole. « Et pour qu’un code malveillant se soit introduit, il faut une autre faille (ou que l’utilisateur donne explicitement son consentement). »
Dans sa note originale, Long Zheng reprochait à Microsoft d’ignorer le problème. Dimanche, le chercheur a publié une autre note pour répondre à des déclarations faites par l’éditeur.
« L’argument de Microsoft est entièrement fondé sur l’utilisateur, ce que j’accepte dans une certaine mesure : ils doivent au préalable télécharger et exécuter une application malveillante. Mais n’oublions pas que dans le cas d’une application avec des privilèges faibles, l’utilisateur ne reçoit aucun avertissement d’aucune sorte », écrit-il. « Comment une application avec des privilèges faibles pourrait-elle désactiver la totalité de la couche de sécurité s’il ne s’agit pas d’une faille de sécurité ?
L’éditeur n’a pas précisé si les suggestions de Long Zheng seront prises en compte ou non, mais le porte-parole a déclaré que « Microsoft a reçu des commentaires sur le comportement de notification de l’UAC et a apporté des changements compte tenu de ces informations. »