avril 12th, 2011

Le fait devient aussi banal qu’un trou I.E. : Flash Player 10.2.153.1* est encore affecté par une faille jugée critique par l’éditeur lui-même, commenté par Brian Krebs qui soupçonne fortement une exploitation du défaut, ce que confirme le billet du Sans : les mécréant de l’Internet utiliseraient comme véhicule un fichier Word intégrant du Flash, lequel, via son exploit, installerait une porte dérobée connue par certains sous le nom de Zolpiq.

Etrange, que tout çà. Il n’y a pas deux semaines, le coupable était une feuille Excel injectant, également à l’aide d’un contenu Flash, une backdoor « Poison Ivy ». S’agirait-il des mêmes méthodes utilisées par les mêmes fabricants de malwares ? Chi lo sa. Ce qui est certain, c’est que l’on ne pratique pas le fuzzing seulement dans les laboratoires de contrôle-qualité des éditeurs de logiciels. Demain, l’on entendra peut-être parler d’une attaque Flash sous PowerPoint, Groove, Outlook, Access, Publisher, Infopath, Picture Manager etc. Mais il faudra probablement attendre la version d’Office 2056 SP1 pour que l’on puisse voir apparaître une interface de gestion des « add-in » autorisés dans les programmes bureautiques en général et ceux de Microsoft en particulier.

Nul ne sait quand ce défaut Flash Player 10.2.153.1 sera corrigé. Il ne semble pas qu’Adobe envisage de publier un bouchon hors calendrier pour l’instant. Après tout, il ne s’agit que de la seconde faille « critique » (extrêmement critique même, estime Secunia) du genre.

Ndlc Note de la correctrice : croiseur touché. A moi, maintenant : Acrobat 12.9.5.7.314159… coup dans l’eau ?

Il vient à peine de rentrer au MSRC, et voilà qu’on lui confie les corvées les plus pénibles, à Pete Voss. A commencer par devoir rédiger le billet signalant la publication du « bulletin avancé » des correctifs Microsoft pour le mois d’avril. 17 bulletins, 64 correctifs. Dans le lot, l’on y trouvera un bouchon attendu depuis fin janvier, celui qui colmatera la fameuse et très médiatique faille MHTML signalée par l’alerte 2501696 et provisoirement isolée par un « fix-it ».

Sur l’ensemble, 42 correctifs sont qualifiés de « critiques », à appliquer le plus tôt possible. Le spectre des patches vise large : Windows, Office, Internet Explorer, Visual Studio, .NET Framework etl le GDI+.