Microsoft a violemment critiqué les chercheurs en sécurité pour avoir
publié une faille dans son logiciel de messagerie MSN Messenger.
Dans un rapport, Microsoft a critiqué les sociétés Finjan Software et Core Security Technologies pour avoir publié un test permettant de tester la présence d'une faille affectant MSN Messenger, et ceci très peu de temps après que les patchs n'aient été disponibles.
Microsoft clame que ces tests ont permis de développer des attaques contre son logiciel. La rapport précise qu'il en résulte un risque accru pour les utilisateurs de Messenger et d'Office XP.
Finjan a en effet publié le code pour tester une vulnérabilité dans Office XP le même jour ou Microsoft proposait le patch, ce qui n'a pas, selon Microsoft, laissé suffisamment de temps aux utilisateurs pour mettre à jour leur système.
Concernant Core Security Technologies, ces derniers ont publié un moyen de tester une faille de MSN Messenger via le composant "libpng", Microsoft a également proposé le patch correctif dans des délais trés courts.
D'après Stephen Toulouse, du centre de sécurité de Microsoft, "les actions menées par des sociétés peuvent permettre à des pirates de lancer des attaques contre les utilisateurs des produits de Microsoft qui n'ont pas eu le temps d'appliquer les mises à jour de sécurité". Nous sommes concernés parce que ces pirates peuvent prendre ces informations et les utiliser. A partir du moment ou vous disposez du code décrivant comment aller de A à B à C, il n'est pas très difficile d'aller à Z si c'est votre but".
Toulouse cite ainsi le ver Slammer, qui s'attaque aux serveurs de base de données SQL Server, comme un exemple de preuve que le code fourni par ces sociétés à permis de créer un ver très virulent.
Toulouse encourage donc ces sociétés à attendre avant de publier les failles découvertes, ajoutant que 90 jours lui semble un délais raisonnable.
De son côté la société Core Security nie qu'elle ait fait quelque chose de mal, argumentant que le fait de publier des failles fait parti de son travail.
"Nous développons ces tests pour permettre aux utilisateurs de tester l'existence d'une faille, pas pour donner le contrôle à un pirate" explique Max Caceres, directeur à Core Security.
Source : TechWorld
Dans un rapport, Microsoft a critiqué les sociétés Finjan Software et Core Security Technologies pour avoir publié un test permettant de tester la présence d'une faille affectant MSN Messenger, et ceci très peu de temps après que les patchs n'aient été disponibles.
Microsoft clame que ces tests ont permis de développer des attaques contre son logiciel. La rapport précise qu'il en résulte un risque accru pour les utilisateurs de Messenger et d'Office XP.
Finjan a en effet publié le code pour tester une vulnérabilité dans Office XP le même jour ou Microsoft proposait le patch, ce qui n'a pas, selon Microsoft, laissé suffisamment de temps aux utilisateurs pour mettre à jour leur système.
Concernant Core Security Technologies, ces derniers ont publié un moyen de tester une faille de MSN Messenger via le composant "libpng", Microsoft a également proposé le patch correctif dans des délais trés courts.
D'après Stephen Toulouse, du centre de sécurité de Microsoft, "les actions menées par des sociétés peuvent permettre à des pirates de lancer des attaques contre les utilisateurs des produits de Microsoft qui n'ont pas eu le temps d'appliquer les mises à jour de sécurité". Nous sommes concernés parce que ces pirates peuvent prendre ces informations et les utiliser. A partir du moment ou vous disposez du code décrivant comment aller de A à B à C, il n'est pas très difficile d'aller à Z si c'est votre but".
Toulouse cite ainsi le ver Slammer, qui s'attaque aux serveurs de base de données SQL Server, comme un exemple de preuve que le code fourni par ces sociétés à permis de créer un ver très virulent.
Toulouse encourage donc ces sociétés à attendre avant de publier les failles découvertes, ajoutant que 90 jours lui semble un délais raisonnable.
De son côté la société Core Security nie qu'elle ait fait quelque chose de mal, argumentant que le fait de publier des failles fait parti de son travail.
"Nous développons ces tests pour permettre aux utilisateurs de tester l'existence d'une faille, pas pour donner le contrôle à un pirate" explique Max Caceres, directeur à Core Security.
Source : TechWorld
