Les correctifs appliqués en secret ne sont ni nouveaux, ni rares. « C'est ce qui s'est passé pendant de nombreuses années et cette modalité en soi n'a rien du complot, » a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security. Ce qui est plus inhabituel, c'est que Core ait rendu la mise à jour « cachée » de Microsoft publique. En déclarant que Microsoft a « caché» et « sous-estimé» le degré de menace corrigé par le MS10-024, Core exhorte les administrateurs à «envisager de réévaluer les priorités pour le déploiement de ce patch. » Dans l'autre mise à jour MS10-028 publiée le 13 avril, Core a également débusqué un correctif non déclaré qui répare deux bugs identifiés dans Microsoft Visio, le logiciel de création de diagrammes de Microsoft.
Microsoft a reconnu avoir corrigé ces défauts à l'insu de ses clients, et s'est défendu en déclarant : «Quand une faille est découverte, Microsoft mène une enquête approfondie sur cette vulnérabilité. A la suite de quoi elle peut être amenée à modifier d'autres éléments du code et soumet alors les mises à jour de sécurité à de nombreux tests pour s'assurer de leur qualité, » a déclaré Jerry Bryant, en charge de la sécurité des programmes, dans un mail. « Cela permet de limiter le nombre de mises à jour que les clients auront à déployer, dans la mesure où elle peut perturber l'environnement dans lequel le client exerce son activité » Si la faille interne découverte nécessite une action distincte ou une orientation particulière qui ne sont pas déjà couvertes par les autres vulnérabilités, «nous documentons et réglons cette vulnérabilité séparément, » a déclaré Jerry Bryant.
Core Security trouve les patchs «cachés» de Microsoft
0
Réaction
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire