20 trous –dont certains vertigineux-, 11 bouchons : le dernier mardi des rustines a comporté, outre son lot de failles IE (et IIS) mensuel, quelques nouveautés intéressantes. A commencer par un « non-bouchon », celui de la faille 951306… Tout compte fait, il faudra se contenter pour l’instant des « mesures de contournement », la correction de ce problème nécessitant une réécriture apparemment assez lourde.
Pour ce qui concerne le traditionnel mardi des rustines, quelques faits particuliers sont à remarquer. A commencer par le traditionnel article de Bill Sisk sur Security News : sa longueur est « historique »… à l’image de l’importance de ce lot de correctifs. En second lieu, cette fournée, ainsi qu’il était annoncé, est accompagnée d’un « indice de probabilité d’exploitation ». A « 1 », il faut fortement s’inquiéter, à 3 ou 4, les exploitations à distance, voir l’idée même d’exploitation relève de l’imaginaire. Toute erreur de jugement de la part du MSRC aura donc des chances de se transformer en remarques ironiques et désobligeantes de la part de certains chercheurs. Errare antimarketingum est. Toutefois, l’équipe Microsoft possède un certain avantage : les sources des programmes concernés et la connaissance intime des « tripes » du kernel. En attendant, les commentaires qui viennent étayer les premières estimations sont précis, souvent associés à un code d’exemple. Espérons que cette initiative sera suivie par d’autres éditeurs de systèmes d’exploitation.
A qui s’adresse cet indicateur ? Dans un premier lieu, aux journalistes et aux gens pressés, pour qui le recoupement d’information n’est pas franchement une préoccupation majeure. Les administrateurs consciencieux continueront à lire les cotes de dangerosité du Cert-IST, les notes de Secunia, les avertissements d’eEyes diffusés par courrier électronique, ainsi que le très synthétique et très sérieux Storm Center du Sans Institute, dont les cris d’alarme « Patch Now » sont à observer aussi strictement qu’une ordonnance médicale. Avis à compléter systématiquement par une surveillance attentive des PoC et autres exploits publiés par Milw0rm. Ce n’est peut-être pas là la source la plus rapide qui soit en matière de preuve de disponibilité d’exploit, mais c’est la plus simple à consulter. L’on considère généralement qu’un code pouvant être téléchargé sur Milw0rm est « largement connu du public », et doit donc être considéré comme susceptible de servir dans le cadre d’une attaque. C’est donc un indicateur d’urgence de « patch » à prendre en compte lorsque les procédures de tests de régression prennent un peu plus de temps que prévu.
Les failles du mois, quant à elles, sont généralement classiques. Remarquons toutefois un trou préoccupant dans Host Integration Server (ms08-059), pivot de bien des applications d’entreprise : c’est une faille critique d’un point de vue stratégique. Glissons sur les trous d’I.E. qui reviennent comme les radis, une faille critique dans Excel qui touche indirectement Sharepoint Server, pour nous arrêter et insister sur deux problèmes jugés importants par les communauté des analyseurs de bouche-trous : l’un qui affecte les ADS et l’autres le serveur Web (IIS), et plus particulièrement le Windows Internet Printing. A noter également une faille SMB qui permettrait, outre une modification ou ajout de fichiers sur des ressources, la création de comptes utilisateur. C’est un bug antédiluvien, un héritage du précambrien des réseaux Windows… Comment une telle antiquité a-t-elle pu rester inaperçue jusqu’à notre époque ? Kostya Kortchinsky en est encore tout retourné.