Patchera, patchera pas ? Les hackers du monde entier se posent, amusés, la question. L’on parle ici des véritables hackers, des techniciens confirmés, des chasseurs de failles de haut vol, des inventeurs d’exploits « éthiques » qui assisteront au prochain concours P0wn20wn qui se déroulera durant la prochaine CanSecWest, du 9 au 11 mars prochain à Vancouver. Comme de tradition, ce sont les navigateurs qui serviront de cible.
Côté Microsoft, la chose vient d’être annoncée dans le tout récent « pré-bulletin » d’alerte : il n’y aura pas ce mois-ci de quasi traditionnel cumulatif I.E. le 8 mars, veille du concours et jour du « patch Tuesday ». Le fait est d’ailleurs assez inhabituel pour qu’il mérite d’être signalé.
Google, de son côté, colmatait Chrome il y a moins de 8 jours avec 19 bouchons et Apple émettait des correctifs supprimant 16 failles menaçant Safari. Mais le 3 mars, un nouveau chapelet de bulletins long comme un jour sans pain –une cinquantaine de CVE !- sécurisait à son tour iTune… Lequel iTune utilise des composants communs à Safari, et plus particulièrement le fameux WebKit, qui à lui seul est à l’origine de 30 failles répertoriées. Il y a fort à parier que l’impact médiatique du concours P0wn20wn fasse passer quelques nuits blanches à l’équipe Sécurité d’Apple et qu’un flot de correctifs en découle avant la date fatidique. L’on doit noter qu’un grand nombre des CVE sont revendiqués par la Team Sécurité de Google. Un Google dont le navigateur utilise également WebKit. Ce qui laisserait penser que les 19 failles comblées l’ont été avec l’assurance d’une certaine primeur.
A la Fondation, la mise à niveau de Mozilla s’est également effectuée le 3 mars, fermant ainsi la porte à 11 CVE d’un coup.