crédit : fdecomite
« Les coups, oui ça fait mal » affirmait le philosophe Jean Philippe Smet en 1966, résumant en cette formule lapidaire le désarroi ontologique du responsable sécurité face à l’infini des exploits « in the wild ». Cette lente progression vers l’acmé de la sécurité passe nécessairement par le bulletin d’alertes de Microsoft qui, ce mois-ci, est composé de 34 CVE, un presque rien résumé en un je-ne-sais-quoi de 6 correctifs, dont un particulièrement lourd. Est-il nécessaire de préciser qu’il s’agit de celui destiné à Internet Explorer et à ses 15 nouvelles failles dont certaines grandement exploitables ? Détail remarquable, en cette collection automnale, aucune alerte n’est liée à un « zéro day »… et c’est la première fois depuis le début de l’année. Il faut bien que les services de renseignements et autres officines de vente d’exploits puissent vivre.
L’application rapide des bouchons est vivement recommandée, une grande partie des alertes étant qualifiée de critique, y compris par le Sans Institute. Selon l’avis d’expert donné par Wolfgang Kandek, le CTO de Qualys, la rustine I.E. est à déployer en premier, suivie immédiatement par la série destinée à Office, en raison d’une série de trous exploitables à distance.
Chez Adobe, la probabilité d’exploitation de certaines failles est tellement élevée que le Cert US s’est fendu d’un bulletin concis mais pressant. Il faut dire que l’éditeur a dénombré la bagatelle de 56 défauts dans son « Reader », éditions Windows ou Macintosh et, pour faire bonne mesure, a accompagné ce dernier par quelques 13 fissures qui fendillent Flash Player.
