pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Failles en pagaille

Mercredi 17 decembre 2008

Décidément, au niveau sécurité des navigateurs, on peut se faire du soucis en ce moment.

Une nouvelle faille de sécurité critique a été découverte dans Internet Explorer 6 et 7 permettant de prendre le contrôle à distance de la machine. Il suffit pour cela que la victime affiche juste une page web. Même pas besoin de télécharger le moindre fichier. Et même si vous avez installé tous les patchs de sécurité de Microsoft.
(Quel est l'abruti, déjà, qui me disait qu'il n'a pas besoin d'antivirus parcequ'"il ne télécharge pas n'importe quoi".)

Ce n'est pas la première faille de ce genre dans IE (rappellez-vous le virus Nimda qui avait même infecté le site de l'éditeur d'antivirus VCatch), et d'autres navigateurs ont également eu des failles similaires.

Non, ce qui me pose problème, ce n'est pas le nombre de failles, mais la vitesse à laquelle elles sont corrigées.
Cette faille d'internet explorer a été découverte le 10 décembre 2008. TOP CHRONO ! Combien de temps mettra Microsoft pour corriger ? (Je parle de corriger dans WindowsUpdate, car la correction manuelle est abomifreuse pour l'utilisateur standard).

Quand je paie presque 100€ pour un OS, je m'attend à un minimum de réactivité de la part de l'éditeur. On verra.


A côté de ça Opera me décoit également: En 2006 ils avaient un seul jour de vulnérabilité, mais là en 2008 le score semble nettement moins bon: Multiples failles critiques découvertes le 18 nov. et corrigées le 16 déc. (sortie d'Opera 9.63). Soit 28 jours pour corriger. C'est décevant de la part d'Opera qui nous ont habitué à mieux (genre correction en 24 heures).

Côté Safari et Chrome, il y a toujours des failles critiques qui ne sont pas corrigées à l'heure actuelle, alors que ces mêmes failles le sont dans IE, Firefox et Opera. Ils ont un train de retard.

Qu'est-ce qui reste ? Firefox, une fois de plus.


Mise à jour 21h51: Bon il faut croire que j'étais mauvaise langue sur ce coup là, ou alors Microsoft a fait des efforts exceptionnels: Le patch pour corriger la faille est censé être dispo dans WindowsUpdate dès maintenant (à vérifier). (cf. le site de Microsoft). Çela fait donc 7 jours pour corriger, ce qui est assez exceptionnel (d'habitude Microsoft attend le prochain cycle de mises à jour, donc environ 1 mois... quand ce n'est pas plusieurs mois pour corriger comme cela l'a été pour certaines failles).

Voir tous les billets