Flash Player : Adobe aurait corrigé des centaines de failles sans les révéler

Découvertes par le chercheur Tavis Ormandy

Dans son dernier patch de Flash Player, Adobe reconnaît y avoir corrigé 13 failles, mais un chercheur en sécurité de renommée l'accuse d'en corriger discrètement des centaines et tenter de les passer sous silence.

Il s'agit du très prolifique employé de Google Tavis Ormandy, connu pour avoir déclenché une vive polémique l'année passée concernant l'éthique à respecter par les chercheurs en cas de découverte d'une faille Zéro Day.

Ormandy évoque pas moins de 400 failles qu'il aurait lui-même découvertes et notifiées à Adobe et affirme avoir constaté qu'elles ont toutes été comblées sans être mentionnées sur le bulletin de sécurité.

De plus, il conteste de ne pas être crédité pour ses découvertes, et s'apprête à publier son propre bulletin pour rétablir la vérité.

Mais les raisons qui poussent Adobe à ne documenter que 13 vulnérabilités sur des centaines restent imprécises.
Compte tenu du partenariat qui le lie à Google autour de l'intégration en native du Player à Chrome, Adobe considérerait les vulnérabilités qui lui sont rapportées dans le cadre de ce partenariat comme découvertes en interne.

Les guidelines d'Adobe en la matière stipulent en effet que les failles découvertes en ce contexte ne doivent pas être mentionnées explicitement sur les bulletins de sécurité. Une stratégie similaire à celle de Microsoft auprès de qui Ormandy est loin de faire l’unanimité.

Une autre raison plausible pourrait être autour de la définition qui sépare la faille d'une simple faiblesse. Du point de vue d'Adobe, une vulnérabilité devrait avoir un identifiant CVE (Common Vulnerabilities and Exposures) et un exploit de preuve de faisabilité. Celle rapportés par Ormandy pourrait n'être qu’au stade de simple bogues découverts en masse par fuzzing.

Mais est-ce bien une raison pour ne pas les reconnaitre ?

Source : Twitter de Tavis Ormandy