Après les 25 derniers bouchons Microsoft, la semaine des diffuseurs de correctifs a pris des allures de tour de France, séquence « montée du col de la Colombière ». Le MS-Virage une fois dépassé (appelé « le reposoir », le bien nommé), le peloton a attaqué la longue montée des patchs Oracle : 47 injections de ce fameux « pot SGBD » au logo de l’éditeur. Un cocktail qui, faut-il le remarquer, intègre une belle proportion de bouchons Sun. Le même jour, les spectateurs pouvaient constater que les concurrents de l’équipe Cisco avaient encore de la ressource, et contre-attaquaient avec un problème ActiveX, immédiatement talonné par un maillot Apple, le dossard CVE-2010-1120 pour être précis, qui masquait une fonte forgée pouvant conduire à des droits d’exécution anormaux. Se sentant distancée, l’équipe Sun revient avec deux security fix qui passent presque inaperçus. Car à ce moment très précis, Adobe reprend du poil de la bête, et l’on voit alors partir comme des fusées les failles CVE-2010-0190, CVE-2010-0191, CVE-2010-0192, CVE-2010-0193, CVE-2010-0194, CVE-2010-0195, CVE-2010-0196, CVE-2010-0197, CVE-2010-0198, CVE-2010-0199, CVE-2010-0201, CVE-2010-0202, CVE-2010-0203, CVE-2010-0204, CVE-2010-1241… inutile de les compter, il y en a 15 au total. Le tout empaqueté dans un bulletin général de bonne tenue, garanti sans stéroïde anabolisant.
Autour du peloton, les équipes médicales s’affairent. Les envoyés spéciaux de la chaine M86, postés à la buvette du col nous signalent que durant la nuit, le « bug-feature PDF de Didier Stevens » est passé du stade de « proof of concept » à celui d’attaque transportant de véritables morceaux de Zeus. Par le plus grand des hasards, une autre « faille de laboratoire », découverte, elle, par Tavis Ormandy s’est également transformée en véritable « exploit in the wild » comme disent les professionnels du cyclisme (discipline proche du Development Life Cycle viral). Ce serait AVG qui serait le premier tombé sur une preuve de cette exploitation. Le Sans a immédiatement sorti la Sécotine et, en l’absence de rustine effective, a derechef publié deux mesures de contournement pendant que le Team Oracle se demandait si les spectateurs allaient pouvoir se contenter d’une promesse de rectification dans les trois mois à venir. Mais, puisant dans ses ressources, le leader de l’équipe Oracle a pu fournir un impressionnant Java 6 Update 20.
