Microsoft prévoit de fournir un patch pour colmater une faille dans Flash pour Windows 8, La firme de Redmond est donc revenue sur sa décision antérieure et n'attendra donc pas que système d'exploitation soit disponible auprès du grand public.

Ce revirement a suscité les critiques de la part des médias qui s'attendaient à la correction d'une faille déjà connue d'Adobe et déjà réparée. Dans Windows 8, Microsoft a intégré Flash dans Internet Explorer 10, et s'est engagé à mettre à jour le navigateur lorsqu'Adobe publierait des correctifs.

Dans un communiqué publié mardi, Microsoft a indiqué qu'il travaillait avec Adobe pour développer un correctif pour IE10. « Cette mise à jour sera disponible prochainement », a indiqué la firme de Redmond, ajoutant que son objectif consistait à assurer la fiabilité et les mises à jour de Flash Player dans Windows 8 et à aligner  son calendrier de publications le plus étroitement possible avec Adobe. »

Paul Henry, analyste sécurité chez Lumension, a déclaré que publier ce patch avant que Windows 8 n'arrive sur les étagères était une sage précaution. «Microsoft  est actuellement en phase d'accélération pour sortir son OS et la dernière chose qu'il souhaite, avant son adoption dans les entreprises, c'est qu'il soit  immédiatement frappé par un problème lié à une question tierce. »

Pas de données précises sur la date de sortie    

 Un autre expert en sécurité s'est dressé contre le fait que Microsoft n'ait pas donné de date exacte pour cette version du correctif. « Ce n'est pas très utile d'indiquer que le patch sortira « bientôt », a ainsi estimé Andrew Storms, directeur des opérations de sécurité chez nCircle. « Bientôt peut signifier n'importe quand, aussi bien  la semaine

suivante que le trimestre prochain », a-t-il ajouté. « Il semble que cette version, dans son ensemble, était non planifiée et pensée après-coup. Cela me renvoie à la triste époque où les éditeurs ne communiquaient pas clairement sur leurs correctifs de sécurité. »

Microsoft a indiqué, la semaine dernière, qu'il corrigerait le bug de Flash dans IE10 lorsque son système d'exploitation serait commercialisé et quand les PC sous Windows 8 arriveraient dans les boutiques, ce qui est prévu pour le 26 octobre. 

Ne pas appliquer de patch avant cela signifie que Windows 8 pourrait être vulnérable aux attaques immédiatement après sa disponibilité générale. Sans compter que les systèmes qui exploitent actuellement des pré-versions de l'OS courraient aussi un risque. Adobe a corrigé les failles de Flash fin août.

Réduire les mises à jour

Microsoft avait emboîté le pas à  Google pour intégrer Flash dans le navigateur. Les deux firmes ont cru que faire disparaître la nécessité d'un plug-in séparé serait plus commode pour les utilisateurs. Google intègre Flash dans Chrome depuis plus de deux ans. Le revers de la médaille est que la firme de Redmond est maintenant responsable de la livraison des correctifs au moment même où Adobe évite d'exposer ses clients à une attaque. Sur le plan de la sécurité, ne pas avoir un plug-in signifie une application de moins à mettre à jour.

«Dans l'ensemble, ces décisions couplées sont positives pour la sécurité, car elles minimisent la quantité de mises à jour qu'une seule machine doit traiter », a déclaré Wolfgang Kandek, directeur technique de Qualys. « Je suis convaincu que Microsoft va publier ses prochaines  mises à jour de sécurité rapidement à mesure que Windows 8 deviendra un OS de production. »

Entretemps, la firme de Redmond a publié deux updates de sécurité à l'occasion de son patch Tuesday. Ces correctifs sont pour Visual Studio Team Foundation Server et System Center Configuration Manager. Ils ne nécessitent pas un redémarrage du système d'exploitation. Face à ce petit nombre de correctifs, Andrew Stoms se demande à quoi l'on doit s'attendre le mois prochain, compte tenu du retard sur les bugs connus par de nombreux experts en sécurité.

« On ne peut que s'interroger sur ce que Microsoft a prévu concernant son patch d'octobre », a-t-il déclaré. « L'éditeur a-t-il choisi de livrer un correctif  extrêmement faible ce mois-ci parce qu'il a un gigantesque patch en phase finale de  test au cours du mois prochain ? »