1, 2, 3 ... Patch Day !
Par Daniel LUNGHI, vendredi 15 mai 2009 à 12:08 :: General :: #307 :: rss
Plusieurs éditeurs ont choisi le mardi 12 mai pour publier leurs correctifs :
- Microsoft avec son traditionnel « Patch Tuesday »
- Apple avec la version 10.5.7 de Mac OS X
- Adobe avec de nouvelles versions d'Acrobat Reader pour les branches 7.x, 8.x et 9.x
Le premier correctif, MS09-017 
(Réf Lexsi 11515), corrige pas moins de 14 CVE concernant différentes versions de Microsoft Powerpoint (2000, XP, 2003 et 2007). Le correctif est jugé « critique » pour Office 2000, et « important » pour les autres versions. Parmi les vulnérabilités corrigées, on reconnait le CVE-2009-0556, exploité sur internet depuis début avril.
La particularité de ce bulletin est que certaines de ces vulnérabilités touchent des versions de Powerpoint qui n'ont pas de correctif à l'heure actuelle. En effet, Office 2004 pour Mac est touché par le fameux CVE-2009-0556 mais n'est pourtant pas concerné par le correctif MS09-017. Même cas de figure pour le CVE-2009-0224 (vulnérabilité non publiée jusqu'ici) qui touche non seulement les versions Windows mais aussi Office 2004 et 2008 pour Mac, ainsi que Works 8.5 et 9.0. Cela est inhabituel chez l'éditeur de Redmond qui a l'habitude d'attendre que le correctif soit disponible pour toutes les versions vulnérables avant de le publier.
L'explication de Microsoft est que contrairement aux versions Mac, les correctifs pour les versions Windows de Powerpoint étaient prêts et testés avant le cycle mensuel de publication. De plus, seul le CVE-2009-0556 est exploité activement sur Internet, et Microsoft n'a connaissance de codes d'exploitation que pour des versions Windows de Powerpoint. Pour finir, les deux autres vulnérabilités (CVE-2009-0224 et CVE-2009-1130) concernant entre autres Office 2004 sur Mac ont été rapportées à Microsoft de façon « responsable » (comprendre par la que la vulnérabilité n'a pas été publiée avant sa correction par Microsoft).
Certains s'indignent déjà de ce comportement qualifié d'incohérent par rapport aux exigences dont fait preuve l'éditeur lorsqu'une faille lui est soumise : pas de délai pour la sortie du correctif et interdiction de publier quoi que ce soit en attendant, sous peine d'etre qualifié de chercheur "irresponsable".
Les deux positions ont des arguments en leur faveur. Quand on sait que grâce aux méthodes d'analyse différentielle de binaires, la publication d'un code d'exploitation suite à la sortie d'un correctif est une question de jours (voire d'heures), on peut se dire que les utilisateurs de Mac vont trouver le mois qui sépare chaque cycle de correctifs bien long. Mais cela justifiait-il de faire attendre tout le monde un mois de plus, alors que les exploitations de la vulnérabilité sont avérées ?
En parlant d'exploitations avérées de failles, Adobe a donc sorti les versions 7.1.2, 8.1.5 et 9.1.1 d'Acrobat Reader pour l'ensemble des systèmes d'exploitation (Réf Lexsi 11625) et corrigeant les failles CVE-2009-1492 et CVE-2009-1493 : pas de chance, la version 7.1.2 pour Mac ne sera pas disponible avant fin juin !
Les utilisateurs Mac pourraient donc une nouvelle fois se sentir lésés, mais c'est sans compter sur la sortie de la version 10.5.7 de MacOS X, qui sera peut-être la dernière mise à jour de Leopard.
Cette version corrige pas moins de 68 vulnérabilités, dont 21 nouvelles (Réf Lexsi 11700), parmi lesquelles on peut noter une vulnérabilité du noyau (CVE-2008-1517) permettant une élévation de privilèges pour un attaquant local et 3 vulnérabilités (CVE-2008-3529, CVE-2009-0162 et CVE-2009-0945) corrigées par la nouvelle version de Safari 3.2.3.
Jamais deux sans trois, les utilisateurs sous Mac de l'antivirus Sophos qui souhaiteraient corriger les 68 vulnérabilités vont devoir être patients : en effet, l'éditeur indique qu'ils ne devraient pas migrer vers la nouvelle version de Leopard s'ils souhaitent continuer à recevoir les alertes d'infection par email ...