Peu après Thanksgiving, suivie de son fameux Black Friday, l'appelation était toute trouvée : ce sera le Black Tuesday. Il faut dire qu'il mérite son nom :

  • vingt-huit failles ;
  • vingt-sept en exécution de code à distance ;
  • sur ces vingt-sept, vingt-cinq sont jugées critiques ;
  • sur ces vingt-cinq, dix on un XI[1] à 1, treize à 2 ;
  • une est gratifiée d'un exploit depuis août dernier...

Autant dire que ça fait du monde. Bien évidemment, le conseil qui va sortir de tout ça est irrémédiablement le même mantra, la bonne vieille prière du mardi : patchez, patchez, patchez. D'autant que cette fois, vous n'aurez pas à vous poser de question sur les interruptions de service, puisque tous ces correctifs nécessitent un redémarrage. Au moins, ce point précis est réglé, il faudra rebooter les machines...

Si on s'intéresse aux composants visés, on comprend tout de suite pourquoi toutes ces failles sont vues gratifiées de notes appréciables : Internet Explorer, GDI, Word, Excel, Visual Basic, Windows Media. Rien que des composants essentiels, sinon populaires, déployés sur une grosse majorité des desktops sous Windows. Pas étonnant que ça ait tendance à se wormifier derrière. Côté analyse technique, je ne me sens pas assez qualifié pour vous en livrer une pertinente. D'autres sont probablement très occupés, à regarder tout ça en détail par exemple, pour en pondre une rapidement, mais certaines perches sont trop grosses pour que ça ne vienne pas.

Re-update (14/12/2008) : c'est News0ft qui dégaine le premier...

Du côté de deux 0days, les failles sont exploitées dans la nature. Il n'est pas impensable qu'un patch hors-cycle pointe le bout de son nez d'ici la fin de l'année, au moins pour tenter d'apporter une solution, même partielle, à celle qui vise IE dans la mesure où elle est bien partie pour décrocher elle aussi la note maximale, qu'au moins deux exploits ont déjà été publiés, que celui de Metasploit est apparemment fini et que son utilisation commence à se faire importante.

Update (12/12/2008) : pendant que l'exploitation sauvage s'étend, Microsoft vient de mettre à jour son advisory sur cette faille IE, avec quelques workarounds recensés sur le blog ZeroDay bien utiles, puisque la surface vulnérable dépasse clairement le seul IE7...

Update encore (16/12/2008) : il y aura bien un patch hors cycle pour IE qui sortira demain mercredi 17 décembre. Faut dire c'est un peu la fête là dehors...

Le côté intéressant de ces failles, c'est qu'elles vont permettre de se faire une idée de l'efficacité du programme MAPP lancé en septembre. À savoir mesurer à quelle vistesse les éditeurs partenaires vont pousser des signatures et autres éléments de détection qui permettront d'attendre un vrai correctif...

Notes

[1] Facteur intéressant certes, mais qui ne devrait pas conditionner l'application d'un patch pour pleins de raisons évoquées dans des billets précédents.