Microsoft prévoit de fournir un patch pour colmater une faille dans Flash pour Windows 8, La firme de Redmond est donc revenue sur sa décision antérieure et n'attendra donc pas que système d'exploitation soit disponible auprès du grand public.
Ce revirement a suscité les critiques de la part des médias qui s'attendaient à la correction d'une faille déjà connue d'Adobe et déjà réparée. Dans Windows 8, Microsoft a intégré Flash dans Internet Explorer 10, et s'est engagé à mettre à jour le navigateur lorsqu'Adobe publierait des correctifs.
Dans un communiqué publié mardi, Microsoft a indiqué qu'il travaillait avec Adobe pour développer un correctif pour IE10. « Cette mise à jour sera disponible prochainement », a indiqué la firme de Redmond, ajoutant que son objectif consistait à assurer la fiabilité et les mises à jour de Flash Player dans Windows 8 et à aligner son calendrier de publications le plus étroitement possible avec Adobe. »
Paul Henry, analyste sécurité chez Lumension, a déclaré que publier ce patch avant que Windows 8 n'arrive sur les étagères était une sage précaution. «Microsoft est actuellement en phase d'accélération pour sortir son OS et la dernière chose qu'il souhaite, avant son adoption dans les entreprises, c'est qu'il soit immédiatement frappé par un problème lié à une question tierce. »
Pas de données précises sur la date de sortie
Un autre expert en sécurité s'est dressé contre le fait que Microsoft n'ait pas donné de date exacte pour cette version du correctif. « Ce n'est pas très utile d'indiquer que le patch sortira « bientôt », a ainsi estimé Andrew Storms, directeur des opérations de sécurité chez nCircle. « Bientôt peut signifier n'importe quand, aussi bien la semaine
suivante que le trimestre prochain », a-t-il ajouté. « Il semble que cette version, dans son ensemble, était non planifiée et pensée après-coup. Cela me renvoie à la triste époque où les éditeurs ne communiquaient pas clairement sur leurs correctifs de sécurité. »
Microsoft a indiqué, la semaine dernière, qu'il corrigerait le bug de Flash dans IE10 lorsque son système d'exploitation serait commercialisé et quand les PC sous Windows 8 arriveraient dans les boutiques, ce qui est prévu pour le 26 octobre.
Ne pas appliquer de patch avant cela signifie que Windows 8 pourrait être vulnérable aux attaques immédiatement après sa disponibilité générale. Sans compter que les systèmes qui exploitent actuellement des pré-versions de l'OS courraient aussi un risque. Adobe a corrigé les failles de Flash fin août.
Réduire les mises à jour
Microsoft avait emboîté le pas à Google pour intégrer Flash dans le navigateur. Les deux firmes ont cru que faire disparaître la nécessité d'un plug-in séparé serait plus commode pour les utilisateurs. Google intègre Flash dans Chrome depuis plus de deux ans. Le revers de la médaille est que la firme de Redmond est maintenant responsable de la livraison des correctifs au moment même où Adobe évite d'exposer ses clients à une attaque. Sur le plan de la sécurité, ne pas avoir un plug-in signifie une application de moins à mettre à jour.
«Dans l'ensemble, ces décisions couplées sont positives pour la sécurité, car elles minimisent la quantité de mises à jour qu'une seule machine doit traiter », a déclaré Wolfgang Kandek, directeur technique de Qualys. « Je suis convaincu que Microsoft va publier ses prochaines mises à jour de sécurité rapidement à mesure que Windows 8 deviendra un OS de production. »
Entretemps, la firme de Redmond a publié deux updates de sécurité à l'occasion de son patch Tuesday. Ces correctifs sont pour Visual Studio Team Foundation Server et System Center Configuration Manager. Ils ne nécessitent pas un redémarrage du système d'exploitation. Face à ce petit nombre de correctifs, Andrew Stoms se demande à quoi l'on doit s'attendre le mois prochain, compte tenu du retard sur les bugs connus par de nombreux experts en sécurité.
« On ne peut que s'interroger sur ce que Microsoft a prévu concernant son patch d'octobre », a-t-il déclaré. « L'éditeur a-t-il choisi de livrer un correctif extrêmement faible ce mois-ci parce qu'il a un gigantesque patch en phase finale de test au cours du mois prochain ? »
Windows 8, Microsoft a déjà une mise à jour Flash
0
Réaction
L'éditeur a décidé de faire machine arrière et a annoncé un patch pour réparer une faille Flash dans Windows 8. Mais il est resté imprécis sur la date de sortie.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire