Livraison record (encore) !
Par Sid,
mercredi 11 août 2010 à 12:30 :: (In)Sécurité
Lu 3699 fois :: #427
:: rss
:: atom
::
English
icrosoft nous a offert hier la plus grosse livraison de l'histoire des Patch Tuesday. Jugez plutôt : pas moins de quatorze bulletins couvrant trente-quatre failles et un spectre de produits touchés plutôt sympa avec le kernel Windows, l'inévitable Internet Explorer, Office ou encore Silverlight. Quinze failles sont jugées critiques, huit d'entre elles étant gratifiées du XI maximum. Du côté des failles importantes, sept élévations de privilèges sont également jugées exploitables par l'éditeur.
Les paquets massifs de correctifs de ce tonneau ne manquent pas d'amplifier le problème classique du patch management. À savoir la prioritisation des déploiements. D'abord parce que le nombre de patches fait exploser les possibilités, et ensuite parce qu'une foultitude de scénarios d'attaque permettant d'obtenir des privilèges élevés à distance par combinaison s'offrent à l'attaquant.
Le déploiement des patches est un problème classique sur les systèmes de production. Selon le contexte, les priorités ne seront pas les mêmes : certains voudront patcher les failles les plus critiques en premier, d'autres préféreront préserver leur disponibilité en se jettant sur les patches qui ne nécessitent pas de reboot, quelques uns ne patcheront pas pour ne pas froisser des applicatifs métier chatouilleux. Sans compter ceux qui voudront commencer par celles présentant le plus grosse risque d'exploitation, même si ce dernier critère est quelque peu subjectif, donc parfois mal apprécié. Mais il faut bien commencer quelque part, me répondra-t-on. Sans parler des critères spécifiques à l'environnement. Etc...
Autant d'approches qui ne manquent pas de donner presque toutes les combinaisons de déploiement possibles et imaginables. L'exercice, combiné aux tests de validation, peut déjà se montrer lourd sur une dizaine de correctifs. Autant dire que sur une trentaine, ça commence vite à ressembler au passage de la Bérézina, en particulier quand Murphy s'en mêle ou quand vous devez croiser ça avec la livraison d'un autre éditeur. En fait, je pense qu'il arrive probablement un moment où il est probablement plus efficace de ne pas se poser la moindre question et croiser les doigts ;)
L'autre point, c'est que plus on a de vulnérabilités annoncées, plus on a de scénarios d'attaque potentiellement utilisables tant que tout n'est pas réglé. Ici, comme je le disais précédemment, parmi les seules failles jugées hautement exploitables par Microsoft, on trouvera huit exécutions distantes de code et sept élévations de privilèges. Soit un nombre conséquent de possibilités de mat en deux coups, à commencer par la fameuse faille LNK qui fait les titres depuis la semaine dernière. Ce qui ne manquera pas non plus d'influer sur l'établissement des priorités !
Ceux qui aiment les timelines record, les chiffres à slideware et autres anecdotes à sortir entre deux verres ne manqueront pas, comme Kostya, de s'intéresser à la dernière faille du bulletin MS10-048. Il trouverait son origine dans un bug remonté il y a... trois ans et demi... mais jamais pris en compte...
Commentaires
1. Le jeudi 12 août 2010 à 16:54, par Yannick
Réponse de Sid
2. Le jeudi 12 août 2010 à 18:25, par Yannick
Réponse de Sid
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.