Trois heures

Depuis des années, Microsoft analysait que la durée séparant la publication d’un correctif de son exploitation se réduisait. Le correctif M07-004 sur la faille VML d’Internet Explorer a fait l’objet d’une exploitation moins de trois heures après la publication du bulletin.

Cette durée très courte rend obligatoire l’analyse du risque à laisser les systèmes sans protections pendant les phases de tests. Il faudra, de plus en plus, se poser la question de l’analyse statistique des conséquences de la diffusion de correctifs sur les postes qui nécessitent de revenir en arrière. Faut-il continuer à tester, ne serait-ce que la possibilité de désinstaller un correctif ?

Rendons hommage à Jospeh Moti et au laboratoire iDEFENSE pour la publication responsable de la faille existante. Quand bien même, je reste persuadé que seul le désassemblage du correctif permet d’identifier les moyens d’exploiter la faille, une divulgation publique aurait pu avoir des conséquences plus importantes.

Je note, au passage, la solution de contournement proposée en anglais consistant à faire analyser le trafic de manière à faire interdire par ISA Server le chargement de fichier VML. Cette solution confirme le fait qu’un pare-feu ne peut plus se contenter de travailler au niveau des ports ouverts ou fermés, mais qu’il est intéressant qu’il puisse travailler jusqu’au niveau de l’application. Cette solution permet d’attendre la fin des tests cités ci-dessus en fermant temporairement le trafic potentiellement dangereux. Elle ne peut, toutefois, pas s’appliquer sur les portables de plus en plus nombreux qui ne passent pas par les pare-feu de l’entreprise pour surfer sur Internet.