vendredi 25 avril 2008
Des patches qui vous en veulent...
Par Sid,
vendredi 25 avril 2008 à 12:28 :: (In)Sécurité
Lu 5253 fois ::
English
eut-être avez-vous noté, ne serait-ce que via Slashdot, la sortie la semaine dernière d'un papier sur la génération automatique d'exploits. Trois chercheurs américains semblent y démontrer cette possibilité par analyse, elle aussi automatique, des patches publiés par les éditeurs, Microsoft en tête. Bref, de créer une machine à pondre de l'exploit à partir de patches, sans intervention humaine.
On comprend bien les implications de ce genre de résultat en terme d'impact sur cette activité déjà pas facile qu'est le patch management. Par contre, d'ici à sauter à des conclusions comme celle citée dans un récent article de Robert Lemos sur SecurityFocus, il y a un pas, un bond, voire une sacré galipette intellectuelle :
When Microsoft releases a patch, what they are saying -- from a security standpoint -- is, 'Here is an exploit.'
