Lors d'une réunion qu'il a tenu avec des journalistes au siège de Redmond, Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que « l'entreprise ne communiquait pas publiquement sur toutes les failles de sécurité qu'elle corrigeait » avec ses mises à jour.
En lisant cette info sur le site Espace Microsoft, on apprend que « Microsoft communique un numéro de Common Vulnerabilities and Exposures (CVE) unique lorsque plusieurs failles sont concernées par la même vulnérabilité, visées par à un même vecteur d'attaque et une manœuvre de contournement identique. Si l'ensemble de ces bugs partagent les mêmes propriétés, alors ils ne sont pas déclarés séparément, » a expliqué Mike Reavey.
Cette absence de divulgation de correctifs par Microsoft a été dévoilée au début du mois par Core Security Technologies, laquelle a mis en évidence trois patchs « muets » dans les correctifs MS10-024 et MS10-028 qu'elle a décortiqué.
Microsoft n'est pas le seul éditeur à faire des cachoteries. Adobe a également gardé le silence sur certains correctifs de vulnérabilité. Une info confirmée lors de cette conférence de Microsoft par Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe.
Ces révélations ne sont pas surprenantes. Dans un billet publié en février dernier, j'évoquais déjà cette question avec Eric Filiol...
Aucun commentaire:
Enregistrer un commentaire