IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft annonce que VBScript sera retiré de Windows afin d'améliorer la sécurité
Dans une prochaine version du système d'exploitation

Le , par Anthony

28PARTAGES

5  0 
Microsoft a annoncé son intention de supprimer la prise en charge de Visual Basic Script (VBScript) dans son système d'exploitation Windows. La société a introduit VBScript, qui s'inspire de Visual Basic, en 1996. Les développeurs web étaient alors la cible initiale de ce langage de script, mais il a rapidement gagné en popularité auprès des administrateurs Windows qui ont utilisé VBScript pour automatiser différentes tâches sur Windows. Les développeurs de logiciels malveillants ont alors commencé à utiliser le langage de script dans leurs attaques, par exemple pour infecter les systèmes avec le tristement célèbre ver "I Love You".

Microsoft a intégré VBScript dans Internet Explorer (IE), son premier grand navigateur web, mais celui-ci n'étant plus pris en charge dans la plupart des versions de Windows, Microsoft a décidé de désactiver VBScript dans IE depuis quelque temps déjà. VBScript a même été mis de côté dans le framework .NET de Microsoft et n'a été pris en charge que par des corrections de bogues et de sécurité pendant une longue période.


L'annonce des fonctionnalités dépréciées de Windows publiée sur le site web de Microsoft fournit les informations suivantes : "VBScript est obsolète. Dans les prochaines versions de Windows, VBScript sera disponible en tant que fonctionnalité à la demande avant d'être retiré du système d'exploitation."

Microsoft n'a pas indiqué de calendrier précis pour l'instant, mais VBScript deviendra une fonctionnalité optionnelle de Windows dans les "prochaines versions" et continuera d'être activé par défaut au début. Microsoft finira par faire de VBScript un composant optionnel qui ne sera plus activé par défaut avant de supprimer entièrement la fonctionnalité de Windows.

Les administrateurs de Windows pourront dresser la liste des fonctionnalités optionnelles dans l'application Paramètres. Pour y accéder, il suffit d'ouvrir le menu Démarrer, de taper fonctionnalités optionnelles et de sélectionner l'élément "Gérer les fonctionnalités optionnelles". Windows dressera alors la liste de toutes les fonctionnalités optionnelles installées sur la page. Le bouton "Ajouter une fonctionnalité" affiche quant à lui toutes les fonctionnalités disponibles qui ne sont pas encore installées.

Désactiver VBScript permettra d'éliminer le vecteur d'attaque

Microsoft n'a donné aucune raison officielle pour désactiver VBScript, mais il est clair que la dépréciation de VBScript améliorera la sécurité, car les attaquants ne pourront plus utiliser les scripts .vbs dans leurs attaques. Bien qu'il existe d'autres alternatives, il est toujours préférable d'éliminer un vecteur d'attaque que de ne rien faire du tout.

Bleeping Computer, qui a découvert l'information, pense également que Microsoft a fait cela principalement pour améliorer la sécurité. En effet, VBScript est toujours utilisé dans les attaques de malwares jusqu'à aujourd'hui.

Une fois que VBScript est ajouté aux fonctions optionnelles, les utilisateurs de Windows auront la possibilité de désactiver la fonction dans l'application Paramètres. Une option permettant de désactiver le Windows Scripting Host pour bloquer les logiciels malveillants .vbs est également déjà disponible.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

L'auteur de la pandémie de virus informatique « I Love You » de l'année 2000 reconnaît enfin sa culpabilité, 20 ans après l'infection de millions de machines à travers le monde par son logiciel

Microsoft Edge : ActiveX et VBScript abandonnés, et pas non plus de support d'extensions HTML et JavaScript pour sa première sortie

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 12/10/2023 à 7:10
Vu qu'il y a PowerShell, c'est cohérent.
3  0 
Avatar de vanquish
Membre chevronné https://www.developpez.com
Le 12/10/2023 à 9:06
Citation Envoyé par chrtophe Voir le message
Vu qu'il y a PowerShell, c'est cohérent.
Oui. Maintenir les 2 langages de script n'a pas de sens sur le long terme.

Mais concernant la sécurité - et c'est une vrai question - , un .ps vaut-il vraiment mieux qu'un .vbs ?
Un script cela reste un script. Non ?
1  0 
Avatar de omen999
Rédacteur https://www.developpez.com
Le 28/05/2024 à 17:38
Bonjour,

Réponse de l'auteur de l'annonce chez Microsoft le 23 mai dernier:
"La portée de la dépréciation de VBScript inclut uniquement vbscript.dll et aucune autre bibliothèque.
Cela n'affectera pas les projets qui ne dépendent pas de vbscript.dll.
"

En clair, tous les autres composants qui étaient susceptibles d'être impactés ne seront pas concernés.
(Windows Script Host, composant COM RegExp, HTA) dès lors qu'ils seront exploités par un autre langage compatible active scripting
en ce compris le JScript.

En revanche, les désinstallations de logiciels qui reposaient sur des scripts MSI vbs risquent d'être décevantes...
1  0 
Avatar de GLDavid
Expert confirmé https://www.developpez.com
Le 12/10/2023 à 7:46
Une très bonne chose !
Vous pouvez pas vous imaginer le code existant qu'on se traîne en VBS et qui date de vieux "parce que ça marche".
Mouais, du code fait à la va-vite pour répondre à une question, qui est ensuite réutilisé ailleurs et on se pose la question maintenant de la maintenance et de l'évolution.

@++
0  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 12/10/2023 à 13:50
Mais concernant la sécurité - et c'est une vrai question - , un .ps vaut-il vraiment mieux qu'un .vbs ?
Question pertinente. Je répondrais oui car vbs est obsolète. Pour la sécurité pas de .ps sera encore mieux mais avec du coup l'impossibilité de scripter. Il reste cmd qui va moins profond dans le système.
0  0 
Avatar de ext_3125
Membre à l'essai https://www.developpez.com
Le 28/05/2024 à 16:09
Et ils disent quoi pour JScript ? C'est aussi déprécié ?

Pour ce que j'en sais, JScript comme VBScript (en dehors des pages web) utilisent tous les deux les moteurs cscript.exe et wscript.exe.
0  0 
Avatar de alexvb6
Membre régulier https://www.developpez.com
Le 21/06/2024 à 0:48
Une pétition a été lancée pour permettre à tous les admin systèmes, entreprises et développeurs de la signer : cette pétition a pour objectif que Microsoft fournisse VBScript et ASP Classic en tant que fonctionnalité, même après Windows Server 2027. Elle est disponible ici : https://chng.it/dLrrYsYbCL

Étant développeur ASP Classic depuis des années, je maintiens activement des dizaines de sites, intranets et extranets d'entreprises, certaines très grosses.
Françaises, américaines, belges, suisses, australiennes, etc. On parle de systèmes qui gèrent la production, la distribution, le commercial, la facturation, des millions de lignes.
La plupart de ces sites ont déjà coûté entre 30.000 et 250.000 € ou $ à leurs détenteurs. Donc ils ne survivraient clairement pas à l'absense du moteur d'exécution ASP Classic.

Cette dépréciation du moteur VBScript met en péril l'ASP Classic, et la majorité des sites et webapps professionnelles ASP Classic encore en activité aujourd'hui sont des outils hautement personnalisés, faits sur-mesure, qui ne peuvent pas être réécrits, et qui fonctionnent très bien.

Des alternatives plus modernes telles que .NET PHP ou Node.js existent. Ce sont des langages plus évolués, plus performants peut-être, etc.
Mais il est un fait que le nombre d'applications ASP Classic est réellement impressionnant (encore plus d'un milliard de sites web publics, sans compter les intranets non-répertoriés).
L'évolution technologique ne peut pas être aveugle et imposée, surtout dans les cas de technologies aussi cruciales. (supprimez le COBOL et regardez l'état du secteur bancaire 1 semaine après, juste pour voir !)
0  0