Come ricevere gli aggiornamenti di Windows 7 dopo il 14 gennaio 2020
Le blogueur Microsoft qui a d'abord attiré l'attention sur une faille de sécurité dans la fonction UAC (Windows Account Control) de Windows 7 affirme qu'il existe toujours et que Microsoft ne le résoudra pas, même si l'entreprise achète le code final sur le système d'exploitation.
Long Zheng, qui écrit le populaire blog «I Started Something», a publié une vidéo en ligne montrant comment UAC, une fonctionnalité de sécurité introduite dans Windows Vista Windows 7, peut être exploité.
Zheng a également fait référence à un document d'instruction par Microsoft Technicien Mark Russinovich qui tente d'expliquer UAC, disant qu'il indique clairement que Microsoft n'a pas l'intention de corriger une modification qu'il a faite dans l'UAC dans Windows 7 qui laisse le nouveau système d'exploitation moins sécurisé car il permet à quelqu'un de désactiver la fonctionnalité à distance sans que l'utilisateur le sache.
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]Zheng a d'abord souligné ce changement vulnérabilité en février. Au moment où il a dit que le nouveau paramètre par défaut "UAC standard" UAC, qui ne prévient pas un utilisateur lorsque des modifications sont apportées aux paramètres Windows, est où le risque de sécurité réside. Un changement à UAC est vu comme un changement à un paramètre Windows, donc un utilisateur ne sera pas informé si UAC est désactivé, ce qui Zheng a dit qu'il était capable de faire à distance avec des raccourcis clavier et du code.
UAC a été controversé fonctionnalité depuis que Microsoft l'a introduit dans Windows Vista pour améliorer sa sécurité et donner aux personnes qui sont les principaux utilisateurs d'un PC plus de contrôle sur ses applications et paramètres. Les fonctionnalités empêchent les utilisateurs sans privilèges administratifs d'apporter des modifications non autorisées à un système.
Dans le document de Russinovich, il reconnaît que les observations de Zheng et d'autres sur la façon dont les logiciels tiers peuvent utiliser cette fonctionnalité pour obtenir des droits administratifs sur un PC.
Cependant, selon le blog de Zheng, Russinovich semblait ignorer cette possibilité d'exécution de code à distance et n'offre aucune solution, car il a dit qu'il y avait d'autres moyens pour les logiciels malveillants d'entrer dans le système via les invites UAC. > "L'observation de suivi est que les logiciels malveillants pourraient obtenir des droits administratifs en utilisant les mêmes techniques", a écrit Russinovich. "Encore une fois, c'est vrai, mais comme je l'ai déjà souligné, les logiciels malveillants peuvent compromettre le système via des élévations incitées." Du point de vue des logiciels malveillants, le mode par défaut de Windows 7 n'est pas plus ou moins sécurisé. "), et les logiciels malveillants qui supposent des droits d'administration seront toujours brisés lorsqu'ils sont exécutés dans le mode par défaut de Windows 7."
Microsoft n'a pas officiellement répondu à une demande de commentaire sur la revendication et la vidéo de Zheng. Cependant, un porte-parole de l'entreprise a déclaré en privé que Zheng avait peut-être mal interprété le document de Russinovich.
"Il me semble qu'il est plus difficile pour les logiciels malveillants d'accéder au système en aidant l'utilisateur final à prendre de meilleures décisions. Ils ont de plus en plus d'utilisateurs en mode utilisateur standard ou en mode admin (parce que le mode admin est ce qui expose votre machine à des risques) ", a déclaré le porte-parole, qui a demandé à ne pas être nommé par e-mail.
Microsoft a maintenu la modification du paramètre par défaut de l'UAC quand Zheng a fait sa première revendication de vulnérabilité, disant que cette fonctionnalité ne peut être exploitée que si un code malicieux est déjà lancé sur la machine et que quelque chose a déjà été piraté. > Microsoft a déclaré que Windows 7, actuellement dans une version de prévisualisation, sera disponible pour les entreprises et les consommateurs le 22 octobre. Le lancement de la fabrication de l'OS, à laquelle tout le code sera définitif, est prévu pour le mois prochain.
ÉVitez de taper le même texte encore et encore
Fab freebie PhraseExpress insère automatiquement les mots et les phrases couramment utilisés, vous épargnant d'innombrables frappes.
Auditeur: IRS encore vulnérable aux cyber-violations
L'IRS a fixé moins de la moitié des vulnérabilités identifiées par un rapport d'audit en novembre. > L'Internal Revenue Service des États-Unis reste vulnérable à un large éventail de problèmes de cybersécurité, et l'agence a fixé moins de la moitié des vulnérabilités identifiées dans un audit de novembre, selon un rapport publié vendredi par le US Government Accountability Office. IRS a fixé seulement 49 des 115 problèmes de sécurité informatique trouvés par le GAO dans l'audit de novembre, a dé
Nokia a demandé aux autorités russes de l'aider à trouver un prototype de téléphone dont un blogueur a parlé. Nokia a demandé aux autorités russes d'aider à récupérer ce qu'il dit être un modèle non autorisé d'un futur téléphone qu'un blogueur a écrit et photographié sur un site de revue de téléphone.
Le scénario rappelle une situation récente où la police américaine traquait un homme qui avait trouvé un prototype de l'iPhone 4 et l'avait vendu à Gizmodo.