« Microsoft communique un numéro de Common Vulnerabilities and Exposures (CVE) unique lorsque plusieurs failles sont concernées par la même vulnérabilité, visées par à un même vecteur d'attaque et une manoeuvre de contournement identique. Si l'ensemble de ces bugs partagent les mêmes propriétés, alors ils ne sont pas déclarés séparément, » a expliqué Mike Reavey. Cette absence de divulgation de correctifs par Microsoft a été dévoilée au début du mois par Core Security Technologies, laquelle a mis en évidence trois patchs « muets » dans les correctifs MS10-024 et MS10-028 qu'elle a décortiqué. Le bulletin de sécurité MS10-028 concernait une faille qui exposait l'utilisateur de Microsoft Visio à une attaque visant à saturer la mémoire tampon pour prendre le contrôle du système. A l'époque, l'éditeur n'avait pas signalé les autres bugs patchés en même temps au motif que «le vecteur d'attaque était exactement le même, et la gravité tout à fait identique. Du point de vue du client, la même solution a été appliquée, à savoir ne pas ouvrir de documents Visio à partir de sources non fiables », a déclaré Mike Reavey à Webwereld, filiale d'IDG, lors d'une interview.

Adobe a également gardé le silence sur certains correctifs de vulnérabilité. Pendant la conférence de Microsoft, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, a admis que l'éditeur n'attribuait par de numéros CVE à des bogues que l'entreprise identifiait en interne. L'éditeur estime que ces mises à jour sont des « améliorations de code», a déclaré Brad Arkin. Les numéros CVE ne sont utilisés que pour les bugs activement exploités ou qui ont été signalés par des chercheurs extérieurs.

[[page]]

Le fait de se taire sur les mises à jour de sécurité n'est pas sans conséquence. Les éditeurs et les chercheurs en sécurité ont utilisé des chiffres CVE pour évaluer la sécurité des différents systèmes d'exploitation et des applications. Lors de la conférence de presse, Microsoft a montré une diapositive comparant le nombre de mises à jour de sécurité réalisées pour UbuntuLTS, Red Hat Enterprise Linux 4, OS X 10.4 ainsi que pour Windows Vista et Windows XP. Dans une autre diapositive, elle a montré celles effectuées pour SQL Server 2000, SQL Server 2005, comparée à une base de données anonyme concurrente.

Mike Reavey admet que cette comptabilité des failles de vulnérabilité est imparfaite, mais soutient que, comme outil de comparaison de base, cela a tout de même un sens. « On peut mesurer la sécurité de plusieurs manières. L'estimation de la vulnérabilité par le comptage des bugs en est un, et il n'est pas parfait. » La comparaison du nombre de vulnérabilités par ligne de code de logiciel est un autre indicateur.

S'il fait valoir que ces décomptes sont des moyens utiles pour comparer les produits entre fournisseurs, il a aussi minimisé l'enjeu du calcul des vulnérabilités, le qualifiant de méthode «comptable» qui a, selon lui, essentiellement pour effet de détourner les chercheurs de leur fonction de corriger les bugs. « Quand une faille est signalée, l'entreprise préfèrerait travailler à optimiser un outil de recherche capable de traiter 200 bogues liés. Techniquement, le code peut contenir 200 vulnérabilités, mais «  en modifiant une ligne de code, vous perdez parfois la possibilité de corriger 200 problèmes potentiels par fuzzing. Est-ce que cela compte pour une ou pour 200 vulnérabilités ? Je ne sais pas vraiment. Mais si nous passons du temps à tenir une comptabilité exacte, c'est autant de temps en moins pour trouver la solution pour protéger nos clients, » a t-il déclaré.