Petit par le nombre, colossal par son importance, étonnant par son incohérence : le bulletin d’alerte MS09-017 que vient de publier Microsoft n’est pas qu’un vague correctif rectifiant un défaut de PowerPoint, mais un « cumulatif » critique. 14 trous de sécurité se cachent derrière ce bulletin, ce qui dénote un certain esprit collectionneur. Le Sans affiche un « Patch NOW ! » pour l’ensemble des failles et précise que l’alerte CVE-2009-0556 est exploitée depuis le 2 avril dernier. A noter (second point soulevé dans la « Foire Aux Questions » dudit bulletin) que les mises à jours destinées aux éditions Macintosh Microsoft Office 2004 pour Mac, Microsoft Office 2008 pour Mac, Open XML File Format Converter pour Mac, Microsoft Works 8.5, Microsoft Works 9.0 sont toujours en cours de développement. Serrons les dents et prions pour que le Dieu des Virus soit en train de prendre des vacances. Cette même « Foire Aux Questions » précise « Microsoft will issue updates on the regular bulletin release cycle for these product lines ». Rappelons qu’un certain ver Downadup/Conficker a causé quelques légers désagréments à l’industrie précisément en raison de cette tendance au respect jusqu’au-boutiste du sacro-saint « release cycle », qui conditionne les calendriers de déploiement. L’on ne contait plus, alors, les petites phrases des hommes sécurité de Microsoft qui déploraient cette attitude trop dogmatique et ce manque de réaction face à une publication de patch « out of band ». Et voilà que, quelques mois après cette mini-catastrophe, ces mêmes Krosofties donneurs de conseils insistent à nouveau sur l’importance d’un calendrier bien tempéré (au sens Bachien du terme), et ce malgré les risques quasi certains d’exploitation des failles signalées.
Perseverare diabolicum est
Détail amusant, après avoir, longtemps, banni de ses bulletins d’alerte les pseudonymes des chercheurs de failles un peu trop fantaisistes, Microsoft remercie par deux fois ce mois-ci un certain Marsu Pilami. Quel spécialiste du fuzzing aura l’idée de signer ses prochaines œuvres Zorglub ?
Chez Adobe également, on fait dans la demi-mesure. Un correctif d’un côté, qui corrige une faille dans Acrobat Reader ainsi que dans les éditions Standard, Pro, et Pro Extended d’Acrobat, et un trou laissé béant de l’autre avec cette possible attaque en Cross Site Scripting (vulnérabilité dans les fichiers SWF) dénoncée par /xssed. Le défaut à déjà près de 16 mois de cave, et il ne sent toujours pas le bouchon.
Apple, pour sa part, imite également Microsoft, à tel point que l’on pourrait se demander s’il n’y a pas là matière à procès pour contrefaçon. Car disons-le tout net, 60 vulnérabilités d’un coup, il ne peut y avoir que deux explications possibles : soit le noyau Unix d’Apple est particulièrement mal conçu et fragile, soit ces défauts ont été accumulés sous prétexte d’une politique de divulgation très conservatrice… à tous les sens du terme. Comme la première hypothèse relève de l’impensable -officiellement, la présence d’un antivirus sur Macintosh est aussi indispensable qu’un kit bikini/crème solaire sur les plages des terres de Baffin-, il semblerait qu’Apple aussi aime à conserver de vielles failles à des fins inconnues.