Microsoft, Apple, Google font du bois par les deux bouts *

Actualités - Alerte - Posté on 10 Mar 2011 at 10:53 par Solange Belkhayat-Fuchs

Peu de liège, mais du bouchon quand même pour les principaux éditeurs participants au « patch Tuesday de mars ». Mois « creux » pour Microsoft. La faille MHTML reste non corrigée, et les trois bulletins de ce mois ne sont qu’un énième épisode de la longue campagne de nettoyage visant à supprimer peu à peu toutes les possibilités d’attaque exploitant les fonctions de «DLL-Preloading ». L’un des bouchons en question (MS11-015) est considéré comme critique car touchant DirectShow et MediaPlayer, outils largement utilisés, et pouvant d’autant plus facilement faire l’objet d’exploitation par le biais de fichiers forgés (au format ms-dvr).
Flashplayer, la semaine passée, a émis une mise à jour de Flash Player, laquelle porte le doux numéro matricule de 10.2.152.32 (http://get.adobe.com/fr/flashplayer/). 3 ou 4 « sous-numéros de versioning » supplémentaires seraient peut-être nécessaires pour que tous les utilisateurs soient réellement perdus. Pour l’heure, 2 % de la population mondiale parvient encore à suivre… c’est presque trop. Toujours chez Adobe, 21 trous de sécurité ont été bouchés dans Shockwave Player (http://www.adobe.com/support/security/bulletins/apsb11-01.html). Cette fois, le « bon » numéro de version à installer est le 11.5.9.620. Les mises à jour en question concernent aussi bien les plateformes Mac que Microsoft.

Apple, après avoir déclenché la semaine passée une avalanche de correctifs iTunes comptant plus de 50 CVE, « pousse » un bouchon Java pour OS/X 10.6 update 4 et 10.5 update 9. C’est là une correction de cap qui avait déjà été signalée le mois dernier par Oracle et qui n’avait pas encore été intégré.

Google ne fait rien pour enrichir les vendeurs d’antivirus. Dans le courant du week-end, l’éditeur a fait le ménage dans son catalogue d’applications à télécharger –éliminant les brebis galeuses servant de vecteur d’infection pour le malware DroidDream – , et appuyé sur le « kill switch » inhibant, par désinstallation à distance, les programmes infectés déjà téléchargés. Cette opération de désinfection a été possible en « poussant » une application de sécurité sur les terminaux affectés. Jimmy Shah de l’Avert se penche sur ce fameux programme dénommé « Android Market Security Tool », outil de nettoyage par le vide qui ne colmate pas la faille de sécurité exploitée par DroidDream.

Comment perdre 15000 dollars en étant trop honnête ? Jon Oberheide, CTO de Duo Security, a signalé à Google l’existence d’une vulnérabilité pouvant permettre le lancement d’une attaque en cross site scripting. Vulnérabilité rapidement corrigée par l’éditeur. Oberheide touchera la prime « leet » de 1337 dollars, mais aurait bien pu conserver son « scoop » et l’utiliser lors du concours P0wn20wn qui aura lieu le week-end prochain à l’occasion de CanSecWest. Concours commandité par le ZDI et qui, rappelons-le, peut valoir au gagnant une prime de 15 000 $… dix fois la mise pour un simple XSS.

Ndlc note de la correctrice : ah, celle-là, elle a une barbe longue comme çà. La réponse, c’est « archiépiscopaux ». Voilà qui s’imposait pour une production de liège aussi variée.

1 commentaire

Laisser une réponse