Conformément aux annonces de la semaine passée, le dernier « Patch Tuesday » de l´année est pléthorique : 8 bulletins concernant aussi bien les noyaux Windows qu´Internet Explorer, les outils de développement ou les outils serveurs, pour un total de 28 failles détectées. Comme il est de coutume, la liste complète des correctifs est dressée sur le blog du MSRC. Parallèlement à cette annonce, un très long article détaille le fonctionnement et les travaux (MS08-075) effectués sur trois composants appartenant à Windows Media (Windows Media Player, Windows Media Format Runtime et Windows Media Services). La faille MS08-075 -un défaut du Windows Explorer sous Vista et 2008- a également droit à une revue de détail. Bill Sisk, dans son désormais traditionnel papier publié dans les colonnes de Security News, détaille tous les correctifs en insistant particulièrement sur la MS08-070. Dame, il s´agit là d´un contrôle ActiveX lié au RunTime de Visual Basic 6.0. Or, une faille dans un outil de développement n´affecte pas seulement l´éditeur de l´outil, mais tous les programmes ayant utilisé le langage et les bibliothèques concernées. Plus préoccupant encore, sur les deux trous de sécurité colmatés par cette rustine, l´un d´entre eux est connu et rendu public depuis août 2008, ce qui déclenche, dans l´équipe du Sans, une alerte rouge vif accompagnée d´un tonitruant « Patch NOW ! ». Notons également que -la chose n´était pas arrivée depuis longtemps- tous les bulletins de ce mois sont qualifiés de « critiques », tous les bulletins du mois sont susceptibles d´être exploités à distance ou peuvent déboucher sur une compromission importante. Officiellement, exception faite de la « faille VB », aucun autre exploit n´est disponible sur le marché underground.
Reste que ce genre d´affirmation est assez peu significatif. Non seulement parce que les capacités des auteurs de malwares en terme de reverse engineering s´améliore de mois en mois et de correctif en correctif, mais également parce que la « normalisation du silence par menaces procédurières » a totalement pacifié, ou presque, le monde de la recherche. Rarissimes sont les « chasseurs de faille » professionnels qui osent publier quoi que ce soit sous leur nom propre, de crainte de s´attirer les foudres des éditeurs en général et de leurs avocats en particulier. Une situation qui favorise à loisir le travail des « black hats » et organisations mafieuses, lesquelles préfèrent travailler en silence et voient d´un mauvais Å“il ces publications « sauvages » qui risquent de réduire à néant les secrets de fabrication de leurs infections. Ce mois-ci, un rapide coup d´œil sur les messages du Full Disclosure montre que les failles liées aux bulletins MS08-0 83, 84, 85, 86 et 87 sont le fait de chercheurs « masqués » derrière le « Zero Day initiative ». 08-071 et 73 sont revendiquées par iDefense, et 08-072 – 74 le sont par Secunia.
Notons que le flux de ce mois compte un nombre important de défauts touchant les produits bureautiques Office, notamment Excel et Word. Généralement, lorsque des failles de ce type sont découvertes, il ne s´écoule pas un mois avant de voir fleurir quelqu´exploit tirant parti de cette faiblesse.
Bouclons ce lot de bouchons avec un dernier bulletin « hors alerte », portant l´immatriculation Technet Security Advisory 960906, qui concerne le convertisseur de texte de Wordpad vers le format Word 97 sous Windows 2000, XP et 2003. Les mesures de protection conseillées par Microsoft sont assez lapidaires : utilisez un firewall et, en cas d´attaque, appelez le FBI. Espérons que le planton de service de Penn Avenue, à Washington, parlera couramment le patois basque ou savoyard.
Le traditionnel ZDE de jour de rustine arrive, cette fois-ci, à pied par la Chine. Il s´agit d´un troyen exploitant un problème de gestion des tags XML dans I.E. 7.x. La lecture de cette alerte par des non sinologues peut suivre deux chemins. Soit par l´utilisation d´un outil de traduction automatique, méthode relativement pénible et hermétique utilisée par Evil Fingers, soit par la lecture de l´Avert blog de McAfee. Dans les deux cas, cela nous promet d´intéressantes fêtes de fin d´année.