Cette semaine est placée sous le signe du scorpion ascendant curare pour Adobe et Apple, les erreurs de l’un n’étant pas sans conséquence pour l’autre.
Sept jours à peine après une chaude alerte à la faille Flash (exploitée via des feuilles Excel intégrant une applet Flash et expédiées en pièces attachées), Adobe publiait, 4 jours plus tard, une version revue et corrigée de son logiciel. Réaction suivie par une grande partie des éditeurs ayant intégré ce code et qui ont émis à leur tour des correctifs. Et parmi eux Apple, qui en profite pour émettre son lot de rustines trimestriel, et pas l’un des moindres. Au total, 7 mises à jour cumulant 250 CVE. Certains bouchons de sécurité comptent 62 CVE. Même les plus charnus des « cumulatifs I.E. » de Microsoft n’ont jamais atteint un tel niveau. Certes, très souvent, un même CVE se retrouve dans plusieurs rustines, l’une pour IOS, l’autre pour OS X par exemple. Mais, comme le fait remarquer François Paget sur le blog de l’Avert, cela représente tout de même 123 failles uniques pour une période de 3 mois. Un score plus ou moins comparable à celui d’un Microsoft ou de tout autre éditeur de noyau. Reste que, si l’on se concentre sur le degré de dangerosité des failles, il apparaît qu’à période équivalente, Apple colmatait 123 trous « critiques » contre 8 « critiques » et 20 importantes pour Microsoft. Le niveau de criticité est issu des classifications données par Vupen, Secunia et Microsoft. La dangerosité d’une faille et ses méthodes d’évaluation sont des points de rhétorique souvent discutés par les experts du milieu.
Pour en revenir à l’attaque « Flash exquis, feuille Excel et fichier explosif », l’on peut se pencher sur le papier édité par Broderick sur le blog de F-Secure. Du côté de Microsoft, on attend toujours une solution « FixIt » qui pourrait s’intituler « éliminez-moi donc ces fonctions totalement inutiles ». A moins que l’on parvienne à expliquer l’absolue nécessité d’une intégration Flash dans une feuille de calcul.