« La vérité est que, comme d'habitude, les affaires sont les affaires, et pas seulement pour Microsoft, mais pour la plupart des éditeurs de logiciels, » a déclaré Andrew Storm. « Les vendeurs trouvent souvent eux-mêmes les bogues dans leur code et distribuent ensuite les correctifs dans une mise à jour d'ensemble, » fait-il remarquer. « La plupart du temps, il n'y a tout simplement aucun avantage à divulguer la nature du bug. » En fait, « la politique de Microsoft est de ne pas attribuer d'identifiant destiné à figurer dans la base de données «Common Vulnerabilities and Exposures » (CVE) pour des failles constatées par ses chercheurs, » a déclaré Andrew Storms. « Un vendeur n'a pas l'obligation de demander un CVE pour les bugs identifiés en interne, » a t-il ajouté.
Faisant écho aux préoccupations de Ivan Arce au sujet d'un éventuel détournement de cette pratique, laquelle pourrait se traduire par un faux sentiment de sécurité chez les utilisateurs, il répond que « la question est de savoir si le vendeur qui cache le risque, retarde la nécessité d'appliquer la mise à jour. Par exemple, si un patch d'IE8 qualifié de « modéré »par Microsoft contient également le correctif d'une faille critique, cette évaluation sous cotée peut-elle exposer les utilisateurs à un risque, dans la mesure où ils pensent pouvoir retarder l'application du patch, puisqu'ils n'ont aucune idée de la faille critique réparée en même temps ? » Ivan Arce soutient que c'est exactement ce que Microsoft fait avec la MS10-024. « Il y a deux ans, en 2008, Microsoft a corrigé une vulnérabilité très similaire avec le patch MS08-037, » dit-il, celui-là même qui réparait la faille dans le DNS découverte par Kaminsky. « Si ce n'était pas une faille, alors, pourquoi ont-ils émis un bulletin de vulnérabilité ? » a t-il demandé. « En aucune manière, ils ne peuvent dire que ce n'est pas un problème de sécurité. »
« Que ce soit côté éditeur ou côté client, il n'y a pas de réponse facile,» a ajouté Andrew Storm. « Si le vendeur livre un patch critique en donnant peu d'informations, comme ça a été le cas d'Adobe par exemple, nous harcelons le vendeur pour savoir ce qu'il contient. D'autre part, compte tenu de la charge de travail des équipes de sécurité au sein des entreprises, nous devons pouvoir faire confiance à l'estimation du vendeur pour déterminer la priorité à donner à sa mise à jour. »
Les points de vue de Core sur les patch MS10-024, MS10 -028 sont disponibles sur son site web.
Core Security trouve les patchs «cachés» de Microsoft
0
Réaction
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire