Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 291 à 300.
| < Les 10 documents précédents | Les 10 documents suivants > |
(18/02/2011 12:57:05)
Oracle livre des correctifs critiques pour Java à installer sans délai
Oracle a dû livrer un important paquet de patchs pour corriger 21 vulnérabilités critiques dans Java SE et Java for Business. La majorité des vulnérabilités que vient réparer cette mise à jour critique concernent le JRE (Java Runtime Environment). Oracle et les experts en sécurité de produits tiers exhortent les administrateurs à déployer cette mise à jour sans délai. Ces failles peuvent en effet être exploitées sans authentification, ce qui signifie que les attaquants n'auraient même pas besoin de nom d'utilisateur et de mot de passe pour en tirer profit.
Sur une échelle de 10, huit vulnérabilités affichent le degré de gravité le plus élevé, deux autres sont notées 7,6 et quatre autres 5. Selon Oracle, 13 des 21 vulnérabilités affectent les déploiements client de Java, et 12 parmi les 13 peuvent être exploitées via des applications Java Web Start et des applets Java non fiables, qui s'exécutent dans la sandbox Java avec des privilèges limités. L'une des vulnérabilités client affecte le composant Java Update spécifique à Windows.
Trois vulnérabilités touchent les déploiements client et serveur. Elles peuvent également être exploitées par des applications et des applets non fiables, et par des données injectées à des API particulières via un service Web, par exemple. Trois autres failles ne concernent que les déploiements serveur de Java et peuvent être exploitées par l'introduction de données malveillantes dans les API de certains composants Java. Oracle précise que l'une de ces vulnérabilités a déjà été corrigée dans le cadre du correctif d'urgence publié le 8 février. Enfin, l'une de ces failles est spécifique à Java DB, un composant du Java JDK, qui n'est pas inclus dans le JRE.
La mise à jour est disponible sur le site d'Oracle, ainsi que toutes les détails la concernant.
RSA 2011 : Microsoft appelle à un Internet plus sûr et plus sain
Scott Charney, vice-président en charge du Trustworthy Computing chez Microsoft, propose une approche collaborative et coopérative de la sécurité de l'Internet et du parc informatique selon un modèle qui s'inspire des méthodes utilisées pour lutter contre les pandémies au niveau mondial. Selon lui, une série de facteurs - l'utilisation accrue d'appareils mobiles, le cloud computing, la persistance des menaces que font peser les botnets, la sensibilisation du public à la cybercriminalité, et la demande croissante pour l'amélioration de la sécurité Internet aux gouvernements - créent une occasion unique et indiquent que le moment est venu de s'engager dans un tel processus. « Nous assistons à une harmonisation croissante des facteurs sociaux, politiques et économiques. Le temps est venu pour l'industrie, les gouvernements et les individus de concentrer leurs efforts sur la sécurité Internet et la vie privée, afin de s'orienter vers un Internet plus sûr, » proclame-t-il. Consulté sur la question, Jeff Jones, directeur du Microsoft Trustworthy Computing, a expliqué que Microsoft prenait soin de ne pas s'approprier la paternité d'une quelconque solution, ou même de suggérer qu'il n'existait qu'une méthode unique. « L'idée de construire un Internet plus sûr et plus sain avec la collaboration de tous ne repose sur aucun produit ou service spécifique, » a-t-il affirmé.
Internet : le bien commun
Toutefois, en prenant l'initiative de cette entrée en matière, Microsoft espère amener les différentes parties et intervenants à coopérer pour le bien commun. Sans un travail d'équipe, les fournisseurs ou les prestataires de services peuvent développer des solutions propriétaires concurrentes qui risquent de brouiller les pistes et rendre la question plus complexe à résoudre pour les consommateurs et les entreprises, et moins profitable à l'Internet dans son ensemble. À n'en pas douter, il y aura des obstacles à surmonter. Quand il s'agit du réseau mondial, pris dans sa globalité, les lois qui régissent l'utilisation et le contrôle de l'Internet sont différentes, de même qu'il existe des différences sociales et culturelles pour déterminer ce qui est acceptable ou non sur Internet, à quoi il faut ajouter des capacités économiques et technologiques inégales pour surveiller ou bloquer les menaces.
S'inspirer de la lutte contre les épidémies
Scott Charney rapproche ces facteurs de ceux que l'on peut observer dans le domaine de la santé au niveau mondial. La médecine et les soins de santé varient d'un pays à l'autre, ils sont régis par des lois différentes, suscitent des attentes culturelles différentes, et sont confrontés à des limites économiques et technologiques différentes. Mais, cela ne n'a pas empêché la création d'un système global pour identifier et s'attaquer à des épidémies ou à des pandémies afin d'éviter qu'elles aient un impact plus large. Dans le cas d'une pandémie potentielle, l'un des premiers objectifs est de contenir la propagation de la maladie. Cela signifie que tout pays peut être effectivement mis en quarantaine - comme le Mexique pendant l'épidémie de grippe porcine H1N1 en 2009 - même si un pourcentage relativement faible de la population est vraiment malade. La santé de l'Internet peut être traitée de la même manière - par exemple en fermant le réseau Internet entrant et sortant d'un pays victime d'une épidémie de malware, afin de contenir la menace jusqu'à ce qu'un «vaccin» ou une méthode de «guérison» soit mis au point.
Ce n'est qu'une approche. Le fait est que le monde partage l'Internet et que tous - consommateurs, fournisseurs de services Internet, vendeurs de matériel et de logiciels, entreprises de toute taille et gouvernements - ont intérêt à travailler ensemble pour faire en sorte que les menaces soient rapidement éliminées, et que l'Internet reste aussi sûr et sain que possible.
Illustration principale : Scott Charney, vice-président en charge du Trustworthy Computing chez Microsoft
RSA 2011 : des produits et services en avant-première
- Zscaler va ajouter le support pour iPhone et iPad à son système de filtrage d'email et d'antivirus via le Cloud. « Les entreprises doivent pouvoir choisir leur politique de sécurité indépendamment du lieu ou de l'appareil utilisé », explique Amit Sinha, directeur technique chez Zscaler. Les entreprises souhaitant adopter l'iPad et l'iPhone pourront appliquer les contrôles de filtrage de Zscaler Mobile en utilisant les technologies VPN des appareils d'Apple. « Ils sont tous livrés avec un VPN. Notre solution redirige le trafic vers le nuage de Zscaler où il est filtré, » explique-t-il. « Cela ne nécessite aucun logiciel particulier. Le service coûte 1 à 3 dollars par utilisateur et par mois. »
- Détecter et stopper le détournement de trafic IP, tel est l'objectif du nouveau service de l'Internet Identity (IID). Rod Rasmussen, son président et CTO, a déclaré que l'entreprise, qui se spécialise dans la recherche de moyens pour limiter les attaques contre les routeurs Border Gateway Protocol (BGP) et les systèmes de noms de domaine (DNS), avait ouvert un service de protection appelé ActiveTrust BGP. Destiné aux entreprises et aux prestataires de services, celui-ci propose de prévenir le type d'incident BGP survenu l'an dernier, où 15% du trafic Internet mondial avait été inondé par une communication envoyée, sans doute par erreur, par une entreprise de télécommunications sous contrôle d'un État. Cette surcharge avait causé la saturation du trafic pour les sites web, la messagerie et d'autres services, affectant même les agences du gouvernement américain. La solution ActiveTrust serait capable de repérer les signes d'un accident de routage de ce type, qu'il soit involontaire ou malveillant. L'IID maintient en alerte 24H/24 et 7j/7 une équipe d'analystes de la sécurité qui peut informer immédiatement ses abonnés. « Certains essaient de détourner l'usage de l'espace IP avec de mauvaises intentions,» a affirmé Rod Rasmussen. Le service ActiveTrust BGP surveille l'information technique, notamment la manière dont les fournisseurs de service internet gèrent le trafic IP, afin de limiter tout incident, grâce également à ses contacts avec les fournisseurs d'infrastructure Internet, des institutions chargées de l'application des lois, et d'autres partenaires de la sécurité avec lesquels elle communique en vue de trouver une solution à un tel problème.
- Fortinet doit présenter son appliance FortiGate-3140B Unified Threat Management (en illustration principale). Celui-ci permet non seulement de travailler à la manière dont le fait un appareil de la série FortiGate, mais apporte en plus un moyen de profilage actif afin de repérer des comportements inhabituels au sein du trafic. L'appareil peut envoyer des alertes, procéder à des mises en quarantaine ou effectuer des blocages. L'éditeur lance également un point d'accès sans fil pour l'extérieur FortiAP-222B. La mise à jour 4.0 MR3 du système d'exploitation FortiOS 4, désormais partie intégrante des appareils FortiGate, permet une gestion unifiée des réseaux câblés et sans fil à partir d'une seule plate-forme FortiGate, ainsi que le profilage actif, l'analyse du trafic en fonction du flux et la détection de points d'accès sans fil non autorisés.
- Huawei Symantec, joint-venture entre l'entreprise chinoise Huawei et Symantec, présentera sa gamme de passerelles Secospace USG5500 destinées à fournir aux moyennes et grandes entreprises des pare-feu consolidés, le VPN, le filtrage d'URL, un antivirus, un antispam et un système de détection et de protection contre les intrusions. Selon le constructeur, la ligne supporte un débit de 30 Gb/s au niveau d'un pare-feu offrant une interface de 14 ports en 10 Gigabits Ethernet.
- BeyondTrust fera la démonstration en direct d'un utilitaire qu'elle a développé, capable d'exploiter le curseur de contrôle du compte utilisateur de Microsoft Windows 7, et montrera comment un pirate peut acquérir et tirer profit d'un niveau d'autorisation élevé. L'exploit est basé sur une faille du système de Microsoft, connu depuis juin 2009 selon BeyondTrust, mais jamais corrigée. BeyondTrust montrera comment son logiciel permet d'éviter l'exploit - elle n'a pas l'intention de rendre son utilitaire publique - et de se prémunir contre cette faille de Windows 7, et comment certains concurrents, comme Avecto, n'y parviennent pas. « Il n'est pas possible de se protéger contre cette vulnérabilité si l'on ne se place pas au niveau du kernel», explique Jim Zierick, vice-président exécutif des opérations produit chez BeyondTrust.
(...)(14/02/2011 10:31:35)
Check Point dévoile sa passerelle R75
Disponible en France, la passerelle R75 de Check Point présente plusieurs nouveautés. Elle offre d'abord quatre lames logicielles : application control, identify awareness, data loss prevention (qui empêche la fuite de données avec le moteur MultiSpect), mobile access (cryptage sur iPhones et iPad). L'identify awareness assure l'identification des utilisateurs en tant que tel et non plus par les adresses IP avec une vision en 3D des évènements utilisateurs.
Dans le même temps l'éditeur a mis sur le marché une software blade DLP. Fait marquant, elle intègre un nouveau moteur de corrélation multi-données, MultiSpect. En cas de danger, les utilisateurs bénéficient d'un dispositif d'alerte. Check Point lance également une passerelle dédiée à la virtualisation : la Security gateway virtual edition.
Tester l'appliance de sécurité de Wallix avec 15 utilisateurs
Solution de contrôle d'accès aux équipements et applications informatiques, WAB 2.2 peut être testée dans une version de démonstration proposée sous la forme d'une machine virtuelle VMware ESX4. Cette appliance permet de déclarer cinq équipements et quinze connexions simultanées afin de savoir en temps réel quels sont les utilisateurs externes (prestataires, par exemple) ou internes qui se connectent, à quels équipements et de quelle façon. Pour les responsables sécurité, c'est un moyen de tester les différentes fonctions du produit en situation : gestion des accès et des données d'authentification, création de règles par utilisateurs et enregistrement des actions effectuées sur les équipements cibles, suivant les protocoles RDP (Windows Terminal Server) ou SSH (Secure Shell). L'un des intérêts de la solution WAB est de pouvoir tracer toutes les commandes qui ont été saisies par les utilisateurs, le tout étant conservé sous la forme de fichiers vidéo au format Flash que l'on pourra rejouer ensuite, si un problème doit être identifié.
Définir des plages horaires pour les connexions
Avec la version 2.2 du produit, l'authentification peut se faire avec un certificat X509 V3 qui peut être stocké sur une carte à puce ou un token USB. Par ailleurs, les utilisateurs sont authentifiés à partir de leur crédentiels primaires et c'est l'annuaire (LDAP ou AD) qui accepte ou pas la connexion vers les équipements afin d'éviter que les mots de passe des comptes cibles soient connus des personnes qui se connectent. Parmi les paramétrages proposés, il est possible de définir les plages horaires de la semaine et les heures pendant lesquelles les différents groupes d'utilisateurs sont autorisés à se connecter aux équipements cibles.
La VM WAB de test se télécharge, avec la documentation pour l'installer en environnement VSphere4, sur le site de l'éditeur du produit, Wallix. La configuration VM recommandée requiert un processeur virtuel, 1 Go de mémoire vive et nécessite de réserver un espace de stockage de 8 Go.
Illustration : Définition des règles d'accès sur la WAB 2.2 déterminant sur quels comptes cibles et sous quels protocoles les utilisateurs peuvent se connecter. (...)
Adobe corrige 42 vulnérabilités dans Reader X et Flash
Presque toutes les failles corrigées dans le lecteur PDF ont été qualifiées de «critiques» par Adobe, ce qui signifie qu'elles pourraient être exploitées par des attaquants pour introduire des logiciels malveillants sur un système non patché. Cependant, l'éditeur indique que pour plusieurs bugs, il n'est pas certain que l'exécution de code à distance soit possible. 2 failles parmi les 29 seraient vulnérables à des attaques dites «cross-site scripting » (XSS), une tactique banale utilisée par les voleurs d'identité qui ciblent les navigateurs Internet. En particulier, les pirates pourraient exploiter une de ces deux vulnérabilités - dans Windows seulement - pour s'octroyer des privilèges supplémentaires sur un ordinateur.
Beaucoup de bugs dans la version X du Reader
Selon l'avis publié par Adobe, environ la moitié des bugs identifiés dans le Reader X concernent le code d'analyse de fichier pour les polices de caractères, l'image ou la 3D. Tous les bugs, sauf 3, affectent le Reader X, cette version Windows du lecteur lancée en grande pompe par l'éditeur il y a trois mois. Elle comprend la fameuse SandBox, cette technologie qui permet d'isoler l'application de l'ordinateur pour arrêter, ou du moins emprisonner un code d'attaque pour l'empêcher de faire des ravages sur l'ensemble du système d'exploitation. La sandbox intégrée dans le Reader X est basée sur des technologies utilisées par Google et Microsoft : ainsi Google a « sandboxé » son navigateur Chrome, tandis que Microsoft utilise des défenses similaires pour protéger Internet Explorer et Office 2010 dans Windows. Il y a quelques semaines un chercheur avait trouvé une faille dans ce « mode protégé ». Un porte-parole de l'éditeur se veut rassurant « aucun des 26 bugs affectant le Reader X ne concernent la sandbox et ne peuvent donc pas être mis à profit pour contourner la protection. » Le Reader passe en versions 8.2.6, 9.4.2, et 10.0.1 pour Windows et Mac OS X. Les utilisateurs Linux devront quant à eux attendre jusqu'au 28 février, date à laquelle Adobe livrera les correctifs pour le Reader tournant sous ce système d'exploitation.
Flash mais aussi ColdFusion et Shockwave
Le Tuesday Patch publié met également mis à jour le plug-in Flash, corrigeant 13 vulnérabilités, toutes qualifiées de critiques, car susceptibles d'être exploitées pour exécuter du code malveillant. Adobe a précisé que 8 des 13 failles étaient liées à des problèmes de corruption de mémoire, tandis que les autres bugs été liées au chargement de bibliothèque, à un dépassement de nombre entier et à l'analyse de fonte. La mise à jour de sécurité fait passer Flash en version 10.2.152.26. Comme cela a été le cas il y a un an environ, les utilisateurs de Google Chrome ont pu profiter de la nouvelle version de Flash via une mise à jour du navigateur, également publiée mardi. Adobe a également livré des mises à jour de sécurité pour ColdFusion, son serveur d'applications web de classe entreprise, et pour Shockwave, un player assez répandu pour lire des contenus online animés. « On aurait dit qu'Adobe était prête pour ce cycle de patch ! » a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security, dans une interview. « J'ai été surpris par cette coordination. » Selon Adobe, « cette coordination est sans doute exceptionnelle, parce que le Reader et son cousin Acrobat sont patchés régulièrement. » Reste que, comme le dit Wiebke Lips, la porte-parole d'Adobe, « chaque fois que possible, l'éditeur tente de prévoir, en même temps que le Tuesday Patch, la livraison de mises à jour de sécurité pour d'autres produits. » Cette fois, le calendrier a inclus Flash Player, ColdFusion et le player Shockwave.
Du tout ou rien
Cependant, si Andrew Storm se félicité de la mise à jour simultanée de plusieurs produits d'Adobe, il souligne que l'éditeur continue à livrer des mises à jour de sécurité « tout-ou-rien, » contrairement à Microsoft qui répartit ses correctifs en plusieurs avis séparés, laissant le choix aux utilisateurs de les déployer ou non, selon leur configuration. « C'est du genre à prendre ou à laisser, ça manque de nuances, » estime Andrew Storm. « Pratiquement tout est du code à distance et nous n'avons aucune possibilité d'en avoir un aperçu pour faire un choix, si cela s'avérait nécessaire, pour une raison ou une autre. » À cet égard, les mises à jour de sécurité d'Adobe ressemblent plus à celles d'Apple qu'à celles de Microsoft. « La seule différence, c'est que, avec Adobe, nous savons à quel moment le déjeuner sera servi, » a déclaré le directeur des opérations, évoquant la planification des mises à jour faite par Adobe, contrairement à Apple.
Adobe Reader et Flash pour Windows et Mac OS X peuvent être téléchargés via les liens inclus dans les avis publiés mardi. Mais, comme toujours, les utilisateurs peuvent récupérer les nouvelles versions via les mécanismes de mise à jour intégrés.
Un malware naît toute les 15 secondes sur la Toile
Un logiciel malveillant, ou malware, apparaît sur Internet toutes les quinze secondes, selon l'étude Malware Report de G Data Software, éditeur de solutions de sécurité. Le rapport a dénombré plus de 2 millions de codes nuisibles sur la Toile en 2010, un chiffre en progression de 32% comparé à l'année précédente.
Les créateurs de malware jetteraient de plus en plus leur dévolu sur les failles de la plateforme Java. Le nombre de codes malveillants destinés à ou créés dans ce langage informatique, très commun sur Internet, a été multiplié par 16 entre fin 2009 et fin 2010. G Data Software offre toutefois un peu d'espoir aux internautes. D'après Ralf Benzmüller, son directeur, la croissance du nombre de logiciels malveillants devrait ralentir en 2011.
La société prévoit pour l'année une hausse de l'hacktivisme mis en pratique et sous les feux de l'actualité via le soutien à Wikileaks en début d'année. Les pratiques de cyberespionnage et cybersabotage pourraient s'étendre aussi, notamment dans les réseaux sociaux.
TippingPoint inaugure sa politique de diffusion et révèle 22 failles non patchées
En août dernier, HP TippingPoint, le plus grand programme mondial de collecte d'erreurs, avait annoncé qu'il respecterait un délai de six mois avant de rendre public les vulnérabilités achetées à des chercheurs indépendants via la Zero Day Initiative (ZDI) y compris si elles n'étaient pas corrigées dans ce délai. Auparavant, la politique de ZDI consistait à garder indéfiniment le silence sur une vulnérabilité après l'avoir signalé à un éditeur, et à livrer son propre avis uniquement après qu'un patch ait été publié. Comme promis, TippingPoint vient donc de publier son premier avis concernant environ deux douzaines de vulnérabilités non patchées, dont certaines avaient été signalées aux développeurs il y a plus de deux ans et demi. 9 des 22 failles concernent un logiciel d'IBM, 5 concernent des programmes de Microsoft, 4 se trouvent dans un programme d'Hewlett-Packard et les quatre dernières concernent respectivement des produits de CA, EMC, Novell et SCO.
Obliger les vendeurs à ne pas ignorer les vulnérabilités
Les 5 vulnérabilités de Microsoft révélées par TippingPoint se trouvent dans les applications Office, et précisément 4 dans Excel, et la 5ème dans PowerPoint. Microsoft a déclaré qu'elle avait l'intention de corriger les 5 failles dans le cadre de sa mise à jour de sécurité mensuelle Patch Tuesday, mais s'est ravisée à la dernière minute. « Microsoft connaissait les 5 vulnérabilités divulguées par ZDI et devait y remédier dans le cadre normal de son cycle de diffusion dont l'échéance arrivait en février, » a déclaré Jerry Bryant, responsable au sein du Microsoft Security Response Center (MSRC). « Cependant, au cours du processus, nous avons découvert des problèmes susceptibles d'empêcher le déploiement de la mise à jour par nos clients et nous avons choisi de retirer ce correctif du dernier bulletin pour un développement supplémentaire. » TippingPoint dit avoir alerté il y a plus de sept mois un développeur de Redmond sur 4 des 5 vulnérabilités encore non corrigées. « Le couperet de la date limite oblige les éditeurs à ne pas ignorer les vulnérabilités, » a déclaré Dan Holden, directeur du DVLabs de TippingPoint. « C'est comme pour la conformité en matière de sécurité. Cela oblige les fournisseurs à respecter une échéance et de se mettre en conformité. Et nous ne voulons pas que les bugs restent sans solutions pendant des années. »
Google avait déjà proposé un délai de deux mois
La décision de TippingPoint d'imposer une date limite est venue après des mesures similaires prises par d'autres l'été dernier. Ainsi, en Juillet 2010, Google avait relancé le débat à propos des bogues en proposant, entre autres choses, que les chercheurs s'imposent un délai de 60 jours maximum. Google faisait alors valoir que les chercheurs seraient libres de rendre publiques leurs conclusions dans le cas où un patch n'aurait pas été fourni dans ce délai de deux mois. Quelques jours plus tard, Microsoft répondait en disant qu'elle voulait changer le terme de « divulgation responsable » en « divulgation coordonnée des vulnérabilités » pour mieux refléter sa politique et retirer du débat le mot « responsable », trop connoté selon elle. Pourtant, lorsque TippingPoint avait fait part de son intention de changer les règles, Microsoft n'y avait pas prêté tellement d'attention.
[[page]]
Selon l'éditeur, les bogues ne devaient être révélés « que dans le cas d'attaques actives... et juste avant qu'un correctif soit prêt à livrer, » comme l'avait déclaré à l'époque Dave Forstrom, directeur du Microsoft Trustworthy Computing Group. « Et même dans ce cas, cette divulgation doit être coordonnée aussi étroitement que possible. » Aujourd'hui, Jerry Bryant a indiqué que « Microsoft se félicitait que ZDI ait choisi de révéler un minimum d'informations sur chaque vulnérabilité, diminuant la probabilité que des attaquants puissent mettre à profit ces éléments contre les utilisateurs. »
Des avis a minima et des solutions de contournement
Les avis publiés par TippingPoint ne précisent pas en effet comment un bug non corrigé peut être déclenché, mais ils fournissent des informations générales sur l'endroit où se trouve le bug, et dans de nombreux cas, donnent des solutions de contournement pour aider les utilisateurs à se protéger jusqu'à ce qu'un correctif soit publié. « Nous ne publions qu'une description générale de la vulnérabilité, et n'indiquons pas précisément où elle se trouve », a déclaré Aaron Portnoy, directeur de l'équipe de recherche en sécurité chez TippingPoint. « Nous livrons les mesures d'atténuation, certaines fournies par les vendeurs, d'autres par des chercheurs indépendants qui signalent les failles et d'autres encore apportées par notre propre équipe. Notre but est de fournir des solutions de contournement qui fonctionnent, peu importe d'où elles proviennent » a ajouté Aaron Portnoy. Parmi les 5 avis publiés par TippingPoint sur les failles trouvées dans les logiciels de Microsoft, tous contiennent des recommandations destinées à aider les utilisateurs à protéger leurs ordinateurs en attendant la livraison d'un correctif. Selon le responsable de TippingPoint, ce changement dans la politique de divulgation est un succès. « La réponse a été extrêmement positive, » a t-il affirmé, ajoutant que près de 90% des bugs signalés au programme depuis août dernier avait été corrigés dans le délai imposé de six mois. Selon lui, même Microsoft a « globalement bien accepté » le principe. « L'équipe qui travaille sur la sécurité des produits chez Microsoft a bien compris les motifs, et s'est dite très favorable, même si dans son ensemble l'entreprise n'apprécie plutôt guère, » a déclaré Aaron Portnoy, ajoutant que TippingPoint n'avait pas constaté de refus de la part des éditeurs à propos de ces délais.
Des dérogations, dans des cas précis
TippingPoint reconnait cependant avoir accepté d'allonger les délais pour certaines vulnérabilités affectant des logiciels de Microsoft, Apple et Sun Microsystems « pour diverses raisons, » selon Aaron Portnoy. La question du changement de propriété intellectuelle a été un facteur parmi d'autres qui a joué dans la décision concernant les bugs trouvés dans certains logiciels de Sun, acquis par Oracle l'année dernière. «Quand une nouvelle entreprise arrive, nous prolongeons le délai de six mois, » a déclaré le responsable de TippingPoint. Microsoft a pu, dans certains cas, bénéficier d'un sursis, notamment quand les bugs doivent être corrigés un peu plus tard dans le cadre des mises à jour de sécurité mensuelles effectuées par l'éditeur.
| < Les 10 documents précédents | Les 10 documents suivants > |