Microsoft admet ne pas communiquer sur toutes les failles de sécurité

Lors d'une réunion qu'il a tenu avec des journalistes au siège de Redmond, Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que « l'entreprise ne communiquait pas publiquement sur toutes les failles de sécurité qu'elle corrigeait » avec ses mises à jour. Le décompte du nombre de bogues pour évaluer la sécurité des produits s'avère donc inexacte.

« Microsoft communique un numéro de Common Vulnerabilities and Exposures (CVE) unique lorsque plusieurs failles sont concernées par la même vulnérabilité, visées par à un même vecteur d'attaque et une manoeuvre de contournement identique. Si l'ensemble de ces bugs partagent les mêmes propriétés, alors ils ne sont pas déclarés séparément, » a expliqué Mike Reavey. Cette absence de divulgation de correctifs par Microsoft a été dévoilée au début du mois par Core Security Technologies, laquelle a mis en évidence trois patchs « muets » dans les correctifs MS10-024 et MS10-028 qu'elle a décortiqué. Le bulletin de sécurité MS10-028 concernait une faille qui exposait l'utilisateur de Microsoft Visio à une attaque visant à saturer la mémoire tampon pour prendre le contrôle du système. A l'époque, l'éditeur n'avait pas signalé les autres bugs patchés en même temps au motif que «le vecteur d'attaque était exactement le même, et la gravité tout à fait identique. Du point de vue du client, la même solution a été appliquée, à savoir ne pas ouvrir de documents Visio à partir de sources non fiables », a déclaré Mike Reavey à Webwereld, filiale d'IDG, lors d'une interview.

Adobe a également gardé le silence sur certains correctifs de vulnérabilité. Pendant la conférence de Microsoft, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, a admis que l'éditeur n'attribuait par de numéros CVE à des bogues que l'entreprise identifiait en interne. L'éditeur estime que ces mises à jour sont des « améliorations de code», a déclaré Brad Arkin. Les numéros CVE ne sont utilisés que pour les bugs activement exploités ou qui ont été signalés par des chercheurs extérieurs.