IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Flash Player : Adobe aurait corrigé des centaines de failles sans les révéler
Découvertes par le chercheur Tavis Ormandy

Le , par Idelways
7 commentaires

10PARTAGES

5  0 
Flash Player : Adobe aurait corrigé des centaines de failles sans les documenter
Découvertes par le chercheur polémique Tavis Ormandy

Dans son dernier patch de Flash Player, Adobe reconnaît y avoir corrigé 13 failles, mais un chercheur en sécurité de renommée l'accuse d'en corriger discrètement des centaines et tenter de les passer sous silence.

Il s'agit du très prolifique employé de Google Tavis Ormandy, connu pour avoir déclenché une vive polémique l'année passée concernant l'éthique à respecter par les chercheurs en cas de découverte d'une faille Zéro Day.

Ormandy évoque pas moins de 400 failles qu'il aurait lui-même découvertes et notifiées à Adobe et affirme avoir constaté qu'elles ont toutes été comblées sans être mentionnées sur le bulletin de sécurité.

De plus, il conteste de ne pas être crédité pour ses découvertes, et s'apprête à publier son propre bulletin pour rétablir la vérité.

Mais les raisons qui poussent Adobe à ne documenter que 13 vulnérabilités sur des centaines restent imprécises.
Compte tenu du partenariat qui le lie à Google autour de l'intégration en native du Player à Chrome, Adobe considérerait les vulnérabilités qui lui sont rapportées dans le cadre de ce partenariat comme découvertes en interne.

Les guidelines d'Adobe en la matière stipulent en effet que les failles découvertes en ce contexte ne doivent pas être mentionnées explicitement sur les bulletins de sécurité. Une stratégie similaire à celle de Microsoft auprès de qui Ormandy est loin de faire l’unanimité.

Une autre raison plausible pourrait être autour de la définition qui sépare la faille d'une simple faiblesse. Du point de vue d'Adobe, une vulnérabilité devrait avoir un identifiant CVE (Common Vulnerabilities and Exposures) et un exploit de preuve de faisabilité. Celle rapportés par Ormandy pourrait n'être qu’au stade de simple bogues découverts en masse par fuzzing.

Mais est-ce bien une raison pour ne pas les reconnaitre ?

Source : Twitter de Tavis Ormandy
Vous avez lu gratuitement 14 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

7 commentaires
Commenter Signaler un problème
Freem
Avatar de Freem
Membre émérite https://www.developpez.com
Le 12/08/2011 à 14:46
Pour ma part, je dirai que vu qu'on ne connaît pas la gravité des failles, on ne peut pas vraiment juger. (je vais les appeler failles dans le reste de ce post, puisque c'est ce qui est supposé depuis le début)

Comme le souligne le post ci dessus, le plus important est effectivement qu'elles aient été corrigées.
D'un autre côté, il me semble aussi logique que le gars souhaite plus de transparence, mais à en juger par le nombre de failles qu'il à découvertes, le type est payé pour ça.

Vous vous imaginez si on indiquait le nombre de lignes de codes ajoutées et supprimées à chaque mise à jour?

Les changelogs seraient clairement illisibles, faisant que plus personne ne les lirait.
Et si personne ne les lis, à quoi bon en faire? Alors que c'est justement utile pour ceux qui veulent savoir si oui ou non ils doivent mettre à jour (au hasard, les admin?) et corriger leurs applications internes qui utilisent les fonctions corrigées.

D'un autre côté, il est aussi possible qu'en corrigeant UNE faille, on en corrige 100 d'un coup.
Prenez le cas d'un "strcmp()" en C. Si cette fonction est utilisée dans une fonction du coeur de l'appli, utilisée par une centaine d'autres. On à une faille potentielle sur la 100aine de fonctions l'utilisant. ( dépassement de mémoire, une des plus connues )
Remplacer cette fonction par "strncmp()" corrige donc une seule faille, mais qui était visible en une 100aine d'endroits différents.
Voila comment transformer 400 failles en 17.

Et sinon, les chevilles, ça va, Mr. Ormandy?
4  0 
Hellwing
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 12/08/2011 à 11:04
Et donc il aurait été le seul au monde à avoir trouvé 400 failles ? A-t-il au moins mentionné l'importance de ses failles ?

Si ça se trouve, elles sont anodines pour la plupart et étaient connues d'Adobe avant qu'il ne sorte sa cape de super héros.
2  0 
Kikuts
Avatar de Kikuts
Membre éprouvé https://www.developpez.com
Le 12/08/2011 à 9:10
En même temps, ils vont pas dire "dans la dernière mise à jour on a corrigé 300 failles. Vous inquietez pas il y en a encore mais pas découverte à ce jour"

Et je trouve ça normal, enfin j'aurais peut être fait pareil si un partenaire me rapporterai un bug ou une faille.
2  1 
LyShAzz
Avatar de LyShAzz
Nouveau membre du Club https://www.developpez.com
Le 12/08/2011 à 11:10
Exactement, le gars parle tout de suite de faille de sécurité alors qu'il peut s'agir de quelques malheureux bug totalement anodin.
En tout cas s'il a trouver 400 failles à lui tout seul, viooooleeent le niveau du mec
Et d'un coté si c'est le cas, c'est compréhensible de la part d'adobe de ne pas le réveler ! "Aujourd'hui nous sortons un patch qui corrige plus ou moins 400 failles de sécurité, n'ayez crainte d'autres suivront très vite "
Bonjour la confiance apres
1  0 
kolodz
Avatar de kolodz
Modérateur https://www.developpez.com
Le 12/08/2011 à 11:26
Même si Tavis Ormandy trouve un million de faille, j'avoue que cela ne me ferai ni chaud ni froid. Surtout si elles sont corrigées !

Les guidelines d'Adobe en la matière stipulent en effet que les failles découvertes en ce contexte ne doivent pas être mentionnées explicitement sur les bulletins de sécurité.
Sauf que cette personne a un ego tellement bien placé qu'il faut absolument que TOUTE les failles qu'il découvre soient annoncées au grand publique.

Personnellement, je trouve cela déplacer de sa part. Si la politique qu'à mis en place sa boite avec Abode ne lui plait pas, il devrait plutôt se plaindre à sa direction au lieu de s'étendre sur la place publique.

Cordialement,
Patrick Kolodziejczyk.

Troll : Il ne veux pas non plus qu'on ajoute son nom à coté des failles découvertes ?
J'adorai voir le patch annonçant :
Faille Tavis Ormandy N° 250 à 650 corrigé.
-> Je suis l'un des seul dev à considère que ce qu'il y a de importante, c'est que la faille soit corrigé ?
1  0 
thorium90
Avatar de thorium90
Membre averti https://www.developpez.com
Le 12/08/2011 à 10:16
Citation Envoyé par Kikuts Voir le message
En même temps, ils vont pas dire "dans la dernière mise à jour on a corrigé 300 failles. Vous inquietez pas il y en a encore mais pas découverte à ce jour".
Euh en meme temps on est déja au courant qu'ADOBE est N°1 des failles alors nous en annoncé 300 ca pourait faire au moins preuve de transparence.

Alors a la place de :
On fait des logiciels faillés mais notre communication transparente vous permet de constater les evolutions et les moyens que nous employons a resoudre ces problemes.

On a :
On fait des logiciels faillés mais en plus on vous le cache et vous fais croire qu'on en a presque pas trouvé au dernier passage....

Moyen la com sur le coup.

PS : Et felicitation à Tavis Ormandy à passer autant de temps a notre sécurité. Merci.
0  0 
The_Pretender
Avatar de The_Pretender
Rédacteur https://www.developpez.com
Le 22/08/2011 à 14:16
Bonjour,
Le plus important reste que les failles soient corrigées.
Après diffuser le nombre ou pas, c'est plus de la communication marketing.
0  0 
Commenter Signaler un problème