janvier 26th, 2010

Cela faisait bien longtemps que l’on n’avait assisté à l’un de ces feux d’artifice d’exploits et de révélations de failles. Bien longtemps après le Month of Apple Bug ou le Month of Vista Bug, voici le « mois du trou serveur », organisé par des chercheurs Russes, qui annoncent clairement la couleur : « Pas de divulgation préalable gratuite auprès des éditeurs, ils se font déjà assez d’argent comme çà »

Le calendrier de publication était d’ailleurs défini avant même l’ouverture des hostilités : du 11 au 17 janvier, tout sur les trous affectant les annuaires, des e-directories Novell à Tivoli. Du 18 au 24, le palmarès des serveurs Web (probablement le plus simple des exercices) avec en « guest star » Zeus, Sun Web Server, Apache… etc (exceptionnellement, IIS n’est pas mis en avant). Le mois s’achève avec la semaine des bugs « bases de données » : Mysql, IBM DB2, Lotus Domino, Informix, Oracle… Tout cela est à suivre en direct sur le blog Intevydis ou sous forme d’email sur la liste DailyDave. Ce n’est donc pas un hasard que certains trains d’annonces se concluent avec une collection de modules de tests et exploits destinés à Canvas, le pentesteur d’ Immunity.

Encore une faille Adobe, affectant Shockwave cette fois, éditions PC et Mac. L’alerte émise précise qu’il est important de bien désinstaller la précédente version avant d’effectuer la mise à jour. Seulement, rares sont les personnes qui savent précisément si Shockwave –composant rarement nécessaire dans le cadre d’un usage courant- est installé ou non sur leur machine.