13 failles corrigées chez Adobe : et pourquoi pas 400 ?
This is madness
Adobe a publié une série de mises à jour pour de nombreux produits. Il s’agit de correctifs de sécurité venant colmater de nombreuses brèches dont une partie est critique.
13 vulnérabilités sont ainsi corrigées dans Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5 et RoboHelp. Depuis Flash Player 10.0, l’utilisateur reçoit une notification lui indiquant qu’une mise à jour est disponible, et beaucoup ont donc déjà dû la voir sur leur bureau. Par ailleurs, la version stable de Chrome (version 13) déjà été mise à jour de manière silencieuse.
Seulement voilà, ces correctifs déclenchent une petite polémique. Dans son bulletin de sécurité, Adobe remercie un ingénieur de chez Google, , pour sa participation à la découverte des failles. Mais le même Ormandy a déclaré rapidement par la suite sur Twitter que le nombre de failles était d’environ… 400.
Précisant dans un tweet suivant qu’il ne s’agit pas d’une faute de frappe, il explique qu’il a lui-même découvert les 400 failles et qu’il les a toutes envoyées à Adobe pour correction. Il aurait vérifié après application du patch et le constat serait qu’aucune des 400 failles ne seraient plus présentes. Il accuse donc Adobe d’avoir voulu masquer le véritable nombre de failles.
La différence pourrait s’expliquer par le jargon utilisé par Adobe. Il se pourrait que l’éditeur ne parle que des failles au-delà d’un certain seuil de dangerosité et/ou pour lesquelles il existe une preuve quelconque d’une possible exploitation. Il est clair qu’au niveau de la communication, publier un patch corrigeant 400 failles provoquerait nécessairement des remous. Mais si ces failles existaient, autant que les utilisateurs sachent qu’elles ont été corrigées.
Tous les correctifs peuvent être téléchargés depuis la page consacrée au bulletin de sécurité.
13 vulnérabilités sont ainsi corrigées dans Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5 et RoboHelp. Depuis Flash Player 10.0, l’utilisateur reçoit une notification lui indiquant qu’une mise à jour est disponible, et beaucoup ont donc déjà dû la voir sur leur bureau. Par ailleurs, la version stable de Chrome (version 13) déjà été mise à jour de manière silencieuse.
Seulement voilà, ces correctifs déclenchent une petite polémique. Dans son bulletin de sécurité, Adobe remercie un ingénieur de chez Google, , pour sa participation à la découverte des failles. Mais le même Ormandy a déclaré rapidement par la suite sur Twitter que le nombre de failles était d’environ… 400.
Précisant dans un tweet suivant qu’il ne s’agit pas d’une faute de frappe, il explique qu’il a lui-même découvert les 400 failles et qu’il les a toutes envoyées à Adobe pour correction. Il aurait vérifié après application du patch et le constat serait qu’aucune des 400 failles ne seraient plus présentes. Il accuse donc Adobe d’avoir voulu masquer le véritable nombre de failles.
La différence pourrait s’expliquer par le jargon utilisé par Adobe. Il se pourrait que l’éditeur ne parle que des failles au-delà d’un certain seuil de dangerosité et/ou pour lesquelles il existe une preuve quelconque d’une possible exploitation. Il est clair qu’au niveau de la communication, publier un patch corrigeant 400 failles provoquerait nécessairement des remous. Mais si ces failles existaient, autant que les utilisateurs sachent qu’elles ont été corrigées.
Tous les correctifs peuvent être téléchargés depuis la page consacrée au bulletin de sécurité.
Source :
Adobe
Vincent Hermann
le 12 août 2011 à 12:47
(25 142
lectures)
Actualités et brèves relatives
- 01 / 08 / 2011 : Adobe lance la préversion d'Edge, son outil d'animations HTML5
- 16 / 06 / 2011 : Adobe supprime la compatibilité Linux pour sa plateforme AIR
- 07 / 06 / 2011 : Adobe corrige une faille XSS dans le lecteur Flash 10.3
- 10 / 05 / 2011 : Adobe CSS Regions : produire facilement des magazines web
- 26 / 04 / 2011 : Adobe Flash 10.3 et AIR 2.7 en RC : cap sur la gestion audio/vidéo
- 22 / 04 / 2011 : Adobe colmate ses brèches de sécurité dans Reader et Acrobat
- 11 / 04 / 2011 : Adobe : trois applications sur iPad pour compléter Photoshop
- 11 / 04 / 2011 : Adobe annonce sa Creative Suite 5.5 avec abonnements
