octobre 11th, 2013

Ce début octobre est chaud, avec une formation fortement dépressive puisque bordée d’un épais front d’exploits « dans la nature » concentrés sur Internet Explorer, plus particulièrement dans la zone CVE-2013-3893 et CVE-2013-3897. Le bulletin météorologique des giboulées rustiniennes compte pas moins de 8 bouchons pour 26 trous, soit une confortable moyenne de 3 trous par rustine, et une place de « patch tueday d’or) avec 50 % de failles qualifiées de « critiques » exploitables à distances, et pouvant constituer une nouvelle famille de racine virale (notamment la MS13-083, une « remote server side » qui devrait trouver exploit à son pied dans un futur proche)

C’est également avec une émotion non feinte que nous fêtons le dixième anniversaire des mardi des rustines, un rendez-vous qui, au fil du temps, a su rallier la participation de plusieurs éditeurs tel Apple, Adobe et consorts. Le second mardi du mois est un repère dans le quotidien du responsable de parc… Pour l’année 2013, le cycle de 365 jours un quart de corrections logicielles s’achève donc avec un total de 87 bouchons estampillés Windows, en nette augmentation par rapport à l’an passé (70 bulletins).

Chez Adobe, un CVE-2013-5327 colmaté concernant RobotHelp, et un CVE-2013-5325 tué dans l’œuf et affectant Acrobat et Reader XI. Il semblerait qu’il existe une « silent release » 11.9.900.117 de Flash, sans mention particulière sur les pages sécurité de l’éditeur.

Apple devrait « pousser » une nouvelle version d’Itune, sans autre précision technique à l’heure où nous rédigeons ces lignes. Y aurait-il un peu de relâchement dans la publication officielle des correctifs ? Ou serait-ce le fruit d’un soudain excès de pudeur ?