février 10th, 2011

Les 12 rustines prévues par Microsoft, dont une faisant l’objet d’une exploitation « dans la nature » et deux autres accusant presque un mois d’ancienneté après divulgation ont été, comme prévu, corrigées. L’index de probabilité d’exploitation est situé dans la moyenne haute. Le détail des bouchons est donné comme d’habitude sur le blog du MSRC.

Adobe, de son côté, colmate 29 failles affectant « Reader », Flash et Acrobat, tous types de plateformes confondues. Bon nombre de ces défauts sont considérés comme étant critiques, la mise à niveau est donc nécessaire.

Chez Oracle, c’était également jour de lessive, avec la correction du bug « chiffre maudit » affectant le Runtime Java. La conversion en un nombre binaire à virgule flottante de l’expression 2.2250738585072012e-308 ouvrait toutes grandes les portes du réseau sans authentification nécessaire. Le crash de la machine Java est, dans ces conditions, très probable explique le bulletin d’alerte.

Vient enfin un coup de semonce donné par le ZDI (Zero Day Initiative de Tipping Point) qui, face probablement à une soudaine surdité affectant quelques éditeurs, décide de dévoiler partiellement certains trous de sécurité non corrigés par HP, SCO, Novell, EMC et Computer Associates.