Consécration

dobe n'en finit pas de récolter les hommages. Après celui, appuyé comme il se doit, de Tavis Ormandy sur Twitter sur le contenu de leur dernier bulletin de sécurité pour Flash Player, c'est au tour de Kaspersky de consacrer l'éditeur. En effet, d'après un rapport publié la semaine dernière, ses logiciels son responsables de huit des dix failles les plus répandues sur les postes client étudiés. Six d'entre elles touchent le seul Flash Player...

C'est une espèce de consécration pour Adobe. Consécration qui vient souligner les efforts qui permettent aujourd'hui à l'éditeur de maintenir ses produits à une place de choix dans les classements du nombre de vulnérabilités et de leur criticité....

Qu'un éditeur ait des produits buggés, c'est inévitable, on le sait tous. Mais à ce point là, et considérant l'impressionnante base installée dont dispose Adobe, ça laisse songeur. D'autant plus que la mini-polémique lancée par Tavis Ormandy met le doigt sur l'étrange conception du concept de transparence qui est la sienne. En effet, en annonçant que le bulletin APSB11-21 corrigeait sans les mentionner pas moins de quatre-cent vulnérabilités uniques qu'il avait remontées, il a quelque peu écorné l'image qu'Adobe essaye de se reconstruire.

Ceci dit, il n'aura pas fallu attendre bien longtemps après qu'il ait menacé de publier son propre advisory pour que l'éditeur réagisse en la personne de Brad Arkin, directeur de la sécurité des produits. Dans un long billet, il nous explique la politique maison en matière de communication sur les failles. Avec en particulier cette règle comme quoi les failles découvertes en interne ou par des partenaires, dont Google ferait justement partie, ne reçoivent pas d'identifiants CVE. Et passent sous le tapis à la publication des bulletins. Voici qui me semble ressembler fortement à du pipeau embarrassé. Pipeau qui ne manquera pas de rappeler quelques discussions houleuses entre Linus Torvalds et Bradley Spengler... Ou plus récemment la prise en compte de failles qui touchant des femtocells...

Toujours est-il qu'au même moment, le bulletin était mis à jour pour faire apparaître un CVE-2011-2424 tout fraîchement attribué, apportant une description, certes maigre mais présente, et créditant comme il se doit Tavis Ormandy. Malgré tout, le billet d'Arkin fait un focus pas inintéressant sur les quatre-cent crashes découverts par Tavis suite à une campagne de fuzzing massif, expliquant qu'elles se résumeraient à cent-six vulnérabilités dont la correction a nécessité quelques quatre-vingts modifications. Ce passage fait bien pâle figure au milieu de tout le blabla, et c'est franchement dommage dans la mesure où c'est à travers ce genre d'explications qu'on prend conscience du travail effectué par les équipes en charge de développer les correctifs...