octobre 16th, 2014

Oui, le bug Packager.dll /OLE/CVE-2014-4114/Sandworm est effectivement corrigé par la rustine MS14-060. Déception. Malgré l’impressionnante campagne médiatique qui a entouré la révélation de cette faille, le défaut n’est qualifié que d’important.

Critique,en revanche et comme d’habitude, le cumulatif Internet Explorer MS14-056 qui étanchéise à lui seul 14 fuites, 14 références CVE. Exécutions à distance, élévations de privilèges, contournement de certains dispositifs de sécurités tel ASLR, la collection de bouchons I.E. est quasi complète.

MS14-057 est un autre grand habitué des correctifs du mardi soir, une faille .Net qui mérite elle aussi le grade de “critique”. Les autres alertes ne dépassent pas le niveau “important”. Le Sans émet une opinion différente et, une fois n’est pas coutume, plus alarmiste que Microsoft. Selon les recensements effectués par l’Institut, la grande majorité des trous bouchés en ce mardi sont soit exploités activement, soit divulgués avec assez de détail pour que leur exploitation ne fasse aucun doute à court terme.

Simultanément, comme à son habitude, Adobe publie également son “mardi des rustines”, avec un correctif Flash relativement modeste (3 CVE)

Chez Oracle enfin, on annonce un CPU gros et gras : 154 CVE, pas un de moins. Le dernier « Critical Patch Advisory », CPU en langage Oracle, affecte aussi bien les produits « base de données » que les outils de développement et logiciels métier. Dans le lot se trouve une nouvelle version de Java corrigé de 24 dont 22 exploitables à distance précise l’éditeur

Le « data management » et la sauvegarde d’un côté, la sécurité de l’autre. Symantec annonce, dans un communiqué kilométrique, son intention de se scinder en deux entités distinctes, toutes deux publiques. Le discours visant à mélanger allègrement les notions de sécurité, de prévention et de gestion des données dans un grand tout informe ne fonctionne plus. Le backup (héritage de la reprise de Veritas) passe mal dans le catalogue purement « infosec ». Tout comme le stockage, ces gammes de produits et solutions ne s’adressent pas aux mêmes personnes ni aux mêmes départements que les produits et services destinés à sécuriser les SI. A cela s’ajoute la lente dégradation du marché des antivirus, socle historique de l’activité sécurité de Symantec, miné par la concurrence des outils gratuits, celui de Microsoft en premier chef. Il fallait donc que les activités liées à la sécurité managée, de la virtualisation, du DLP, du Byod et du marché du cloud, nouveau cap de l’entreprise, soient dégagées de l’aspect « base matérielle-pc-logiciel » dans lequel évolue encore fortement le business de la gestion-traitement de données. En attendant que la vague « software defined » ne vienne redistribuer les cartes.

Le « split », toutefois, ne se fera pas dans les mois à venir. Le communiqué de l’entreprise mentionne décembre 2015…