Several editors have chosen Tuesday may 12th to release their patches:

• Microsoft with the traditional « Patch Tuesday »
• Apple with the 10.5.7 version of Mac OS X
• Adobe with new Acrobat Reader versions for 7.x, 8.x and 9.x branches

The first patch, MS09-017 (Ref Lexsi 11515), fixes no less than 14 CVE concerning different Microsoft Powerpoint versions (2000, XP, 2003 and 2007). The fix is rated « critical » for Office 2000 and « important » for other versions. Amongst the fixed vulnerabilities, we recognize CVE-2009-0556, which is exploited in the wild since the beginning of April.

The particularity of this bulletin is that some of these vulnerabilities affect Powerpoint versions that have no fix at this time. Indeed, Office 2004 for Mac is affected by the famous CVE-2009-0556 but is not concerned by the MS09-017 patch. Same case for CVE-2009-0224 (undisclosed vulnerability until now) which affects not only Windows versions but also Office 2004 and 2008 for Mac, as well as Works 8.5 and 9.0. This is not common for the Redmond editor who usually waits for a patch to be applicable to all vulnerable versions before releasing it.

Microsoft explanation is that unlike Mac versions, fixes for Windows versions of Powerpoint were ready and tested before the monthly cycle release. Furthermore, only CVE-2009-0556 is actively exploited on internet, and Microsoft doesn't know of exploitation code for any but Windows versions of Powerpoint. Finally, the two other vulnerabilities (CVE-2009-0224 and CVE-2009-1130) which concerns among others Office 2004 for Mac have been responsibly reported to Microsoft (which means they have not been disclosed before the Microsoft patch release).

Some people already feel outraged by this behavior, described as inconsistent regarding the editor demands when a vulnerability is submitted to him : no timeline for patch release and no possibility of disclosure unless you want to be called « irresponsible ».

Both points of view have their arguments. When you think that with methods such as differential binary analysis, exploitation codes disclosure after a patch release is a matter of days (or even hours), it is likely that Mac users will find that time passes slowly during the coming month. Did that justify for the rest to wait one more month, whereas vulnerability exploitations are confirmed ?

Talking about confirmed vulnerabilities exploitation, Adobe has released 7.1.2, 8.1.5 and 9.1.1 versions of Acrobat Reader (Ref Lexsi 11625) fixing CVE-2009-1492 and CVE-2009-1493 flaws. The 7.1.2 for Mac is expected before end june.

Mac users could feel harmed. That is not taking into account the MacOS X 10.5.7 version release, which will eventually be the last Leopard update. This version fixes no less than 68 vulnerabilities, of which 21 are new (Ref Lexsi 11700), where you can note a kernel vulnerability (CVE-2008-1517) allowing a local privilege escalation and 3 vulnerabilities (CVE-2008-3529, CVE-2009-0162 and CVE-2009-0945) fixed by the new 3.2.3 Safari version.

Bad luck comes in threes, Mac users of the Sophos antivirus who wish to fix the 68 vulnerabilities will have to be patient: the editor indicates that they shouldn't upgrade to the new Leopard version if they want to continue receiving infection alerts by mail ...

Plusieurs éditeurs ont choisi le mardi 12 mai pour publier leurs correctifs :

• Microsoft avec son traditionnel « Patch Tuesday »
• Apple avec la version 10.5.7 de Mac OS X
• Adobe avec de nouvelles versions d'Acrobat Reader pour les branches 7.x, 8.x et 9.x

Le premier correctif, MS09-017 (Réf Lexsi 11515), corrige pas moins de 14 CVE concernant différentes versions de Microsoft Powerpoint (2000, XP, 2003 et 2007). Le correctif est jugé « critique » pour Office 2000, et « important » pour les autres versions. Parmi les vulnérabilités corrigées, on reconnait le CVE-2009-0556, exploité sur internet depuis début avril.

La particularité de ce bulletin est que certaines de ces vulnérabilités touchent des versions de Powerpoint qui n'ont pas de correctif à l'heure actuelle. En effet, Office 2004 pour Mac est touché par le fameux CVE-2009-0556 mais n'est pourtant pas concerné par le correctif MS09-017. Même cas de figure pour le CVE-2009-0224 (vulnérabilité non publiée jusqu'ici) qui touche non seulement les versions Windows mais aussi Office 2004 et 2008 pour Mac, ainsi que Works 8.5 et 9.0. Cela est inhabituel chez l'éditeur de Redmond qui a l'habitude d'attendre que le correctif soit disponible pour toutes les versions vulnérables avant de le publier.

L'explication de Microsoft est que contrairement aux versions Mac, les correctifs pour les versions Windows de Powerpoint étaient prêts et testés avant le cycle mensuel de publication. De plus, seul le CVE-2009-0556 est exploité activement sur Internet, et Microsoft n'a connaissance de codes d'exploitation que pour des versions Windows de Powerpoint. Pour finir, les deux autres vulnérabilités (CVE-2009-0224 et CVE-2009-1130) concernant entre autres Office 2004 sur Mac ont été rapportées à Microsoft de façon « responsable » (comprendre par la que la vulnérabilité n'a pas été publiée avant sa correction par Microsoft).

Certains s'indignent déjà de ce comportement qualifié d'incohérent par rapport aux exigences dont fait preuve l'éditeur lorsqu'une faille lui est soumise : pas de délai pour la sortie du correctif et interdiction de publier quoi que ce soit en attendant, sous peine d'etre qualifié de chercheur "irresponsable".

Les deux positions ont des arguments en leur faveur. Quand on sait que grâce aux méthodes d'analyse différentielle de binaires, la publication d'un code d'exploitation suite à la sortie d'un correctif est une question de jours (voire d'heures), on peut se dire que les utilisateurs de Mac vont trouver le mois qui sépare chaque cycle de correctifs bien long. Mais cela justifiait-il de faire attendre tout le monde un mois de plus, alors que les exploitations de la vulnérabilité sont avérées ?

En parlant d'exploitations avérées de failles, Adobe a donc sorti les versions 7.1.2, 8.1.5 et 9.1.1 d'Acrobat Reader pour l'ensemble des systèmes d'exploitation (Réf Lexsi 11625) et corrigeant les failles CVE-2009-1492 et CVE-2009-1493 : pas de chance, la version 7.1.2 pour Mac ne sera pas disponible avant fin juin !

Les utilisateurs Mac pourraient donc une nouvelle fois se sentir lésés, mais c'est sans compter sur la sortie de la version 10.5.7 de MacOS X, qui sera peut-être la dernière mise à jour de Leopard. Cette version corrige pas moins de 68 vulnérabilités, dont 21 nouvelles (Réf Lexsi 11700), parmi lesquelles on peut noter une vulnérabilité du noyau (CVE-2008-1517) permettant une élévation de privilèges pour un attaquant local et 3 vulnérabilités (CVE-2008-3529, CVE-2009-0162 et CVE-2009-0945) corrigées par la nouvelle version de Safari 3.2.3.

Jamais deux sans trois, les utilisateurs sous Mac de l'antivirus Sophos qui souhaiteraient corriger les 68 vulnérabilités vont devoir être patients : en effet, l'éditeur indique qu'ils ne devraient pas migrer vers la nouvelle version de Leopard s'ils souhaitent continuer à recevoir les alertes d'infection par email ...