avril 11th, 2012

Chez Microsoft, deux vulnérabilités référencées MS12-026 et 028 sont, de l’avis de beaucoup d’experts, à colmater rapidement. Et malgré une quasi absence d’exploitation connue « dans la nature » (exception faite de la MS12-027 qui serait sporadiquement utilisée), ce bulletin est tout de même tâché de rouge vif. De Black Tuesday, on passe au Red Tuesday comptant donc 6 rustines et 11 vulnérabilités. Le rapport rustine/trou le plus élevé est détenu une fois de plus par le célèbre cumulatif I.E. (MS12-023) qui accapare 5 CVE à lui tout seul. Pourtant, aucun « Patch Now ! » péremptoire ne vient entacher l’écho que le Sans rédige chaque mois sur ce sujet.

De ces petits trous Microsoft sautons dans un trou Flash un peu plus gros, immatriculé CVE-2012-0769 et corrigé par Adobe comme en témoigne le bulletin 12-05. Une méthode d’exploitation (par évitement ASLR) a été envisagée par Fermin Serna du Google Security Team, code source à l’appui et PoC sur demande.

Reader et Acrobat sont également affectés par 4 autres vulnérabilités corrigées

Sophos vient d’annoncer la reprise de l’éditeur Allemand Dialogs, un spécialiste de la gestion des flottes mobiles. C’est un premier pas dans le domaine du MDM, le « mobile device management ». Le communiqué de l’entreprise Britannique ne précise pas le montant de l’opération.