septembre 10th, 2008

C’est principalement le ZDI qui est à l’origine de ces découvertes de failles : au total, Apple corrige 9 trous dans Quicktime, versions touchant indifféremment les éditions Windows et OS/X. Certaines exploitations peuvent exceptionnellement conduire à une exécution de code à distance, la plupart ne pourrait, estime l’éditeur, que conduire à un déni de service.

Signalons au passage que la précédente fournée de correctifs Quicktime fait l’objet d’un commentaire composé sur GNU Citizen, sous la plume de PdP. Ce papier constitue à priori le premier volet d’une série, une suite abordant les conséquences de l’attaque décrite devant être publiée avant la fin de cette semaine.

Il ne fera probablement pas date, ce Patch Tuesday de septembre 2008. 4 bulletins, pas un de plus, et exceptionnellement pas le moindre « I.E. cumulative ». Une vulnérabilité dans la gestion des URI sous OneNote, hautement critique mais peu encline à inspirer les auteurs de malware, compte tenu de l’importance très relative du logiciel affecté. Un patch attendu du Media Encoder 9, un autre destiné à Media Player 11, bref, jusqu’à présent, pas de quoi inquiéter tout ce qui touche à l’informatique d’entreprise.

La dernière faille, MS08-052, pose en revanche plusieurs problèmes (http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx). Elle est du bois dont on peut faire de belles flèches empoisonnées. Tout d’abord parce qu’elle fait partie de la famille des correctifs cumulatifs complexes et qu’elle touche un composant vital du noyau –il s’agit d’une série de failles GDI- et que la liste des programmes affectés est longue comme un jour sans pain. A l’heure où nous rédigeons ces lignes, il n’existe pas d’exploit « officiellement » répertorié s’attaquant à l’un de ces défauts. Ni sur Milw0rm, ni sur l’un de ses proches cousins white hat. Les seuls bulletins publiés à ce sujet en dehors du monde Microsoft relèvent de la sphère iDefense ou ZDI, et ne laissent par conséquent filtrer aucun renseignement supplémentaire. Les tests de non-régression peuvent donc être envisagés avec une certaine sérénité.

Et ce ne sera pas du luxe. Cette rustine n’est pas, dans le cadre d’un déploiement d’envergure, particulièrement simple à appliquer. Car elle peut tout aussi bien colmater une faille système ou un trou situé dans une application. L’on risque donc de devoir prévoir des mises à jour multiples, en plusieurs « passes ». Bill Sisk, dans son désormais traditionnel billet « post-patch », insiste particulièrement sur l’éventuelle complexité du déploiement. « I encourage you to review the bulletin carefully, since there are other considerations to keep in mind when planning your deployment strategy » insiste-t-il. Ce genre d’insistance est assez rare pour que l’on en tienne doublement compte.

Plusieurs blogs et témoignages relatent une déclaration de Bob Muglia, déclaration qui concernent les retards de certaines parties de l’hyperviseur intégré dans 2008 Server. Selon le VP de la division Serveurs, le Live Migration d’HyperV ne verra pas le jour avant la sortie, prévue en 2010, de Windows Server 2008 « R2 ». Live Migration est le concurrent potentiel du VMotion de VMWare, programme qui permet de déplacer une VM en cours d’exécution d’un serveur physique à un autre. C’est donc un élément stratégique pour toute DSI cherchant à assurer soit une continuité de service reposant sur une architecture virtualisée, soit un équilibrage de charge dynamique dans le cadre d’un centre de traitement.

D’ici là, on peut être certain que VMWare saura mettre à profit cette période de flottement pour conforter ou accroître son avance technique.