Discussion :

[Idelways]

Flash Player : Adobe aurait corrigé des centaines de failles sans les documenter
Découvertes par le chercheur polémique Tavis Ormandy



Dans son dernier patch de Flash Player, Adobe reconnaît y avoir corrigé 13 failles, mais un chercheur en sécurité de renommée l'accuse d'en corriger discrètement des centaines et tenter de les passer sous silence.

Il s'agit du très prolifique employé de Google Tavis Ormandy, connu pour avoir déclenché une vive polémique l'année passée concernant l'éthique à respecter par les chercheurs en cas de découverte d'une faille Zéro Day.

Ormandy évoque pas moins de 400 failles qu'il aurait lui-même découvertes et notifiées à Adobe et affirme avoir constaté qu'elles ont toutes été comblées sans être mentionnées sur le bulletin de sécurité.

De plus, il conteste de ne pas être crédité pour ses découvertes, et s'apprête à publier son propre bulletin pour rétablir la vérité.

Mais les raisons qui poussent Adobe à ne documenter que 13 vulnérabilités sur des centaines restent imprécises.
Compte tenu du partenariat qui le lie à Google autour de l'intégration en native du Player à Chrome, Adobe considérerait les vulnérabilités qui lui sont rapportées dans le cadre de ce partenariat comme découvertes en interne.

Les guidelines d'Adobe en la matière stipulent en effet que les failles découvertes en ce contexte ne doivent pas être mentionnées explicitement sur les bulletins de sécurité. Une stratégie similaire à celle de Microsoft auprès de qui Ormandy est loin de faire l’unanimité.

Une autre raison plausible pourrait être autour de la définition qui sépare la faille d'une simple faiblesse. Du point de vue d'Adobe, une vulnérabilité devrait avoir un identifiant CVE (Common Vulnerabilities and Exposures) et un exploit de preuve de faisabilité. Celle rapportés par Ormandy pourrait n'être qu’au stade de simple bogues découverts en masse par fuzzing.

Mais est-ce bien une raison pour ne pas les reconnaitre ?


Source : Twitter de Tavis Ormandy

[Kikuts]

En même temps, ils vont pas dire "dans la dernière mise à jour on a corrigé 300 failles. Vous inquietez pas il y en a encore mais pas découverte à ce jour"

Et je trouve ça normal, enfin j'aurais peut être fait pareil si un partenaire me rapporterai un bug ou une faille.

[thorium90]

En même temps, ils vont pas dire "dans la dernière mise à jour on a corrigé 300 failles. Vous inquietez pas il y en a encore mais pas découverte à ce jour".

Euh en meme temps on est déja au courant qu'ADOBE est N°1 des failles alors nous en annoncé 300 ca pourait faire au moins preuve de transparence.

Alors a la place de :
On fait des logiciels faillés mais notre communication transparente vous permet de constater les evolutions et les moyens que nous employons a resoudre ces problemes.

On a :
On fait des logiciels faillés mais en plus on vous le cache et vous fais croire qu'on en a presque pas trouvé au dernier passage....

Moyen la com sur le coup.

PS : Et felicitation à Tavis Ormandy à passer autant de temps a notre sécurité. Merci.

[Hellwing]

Et donc il aurait été le seul au monde à avoir trouvé 400 failles ? A-t-il au moins mentionné l'importance de ses failles ?

Si ça se trouve, elles sont anodines pour la plupart et étaient connues d'Adobe avant qu'il ne sorte sa cape de super héros.

[LyShAzz]

Exactement, le gars parle tout de suite de faille de sécurité alors qu'il peut s'agir de quelques malheureux bug totalement anodin.
En tout cas s'il a trouver 400 failles à lui tout seul, viooooleeent le niveau du mec
Et d'un coté si c'est le cas, c'est compréhensible de la part d'adobe de ne pas le réveler ! "Aujourd'hui nous sortons un patch qui corrige plus ou moins 400 failles de sécurité, n'ayez crainte d'autres suivront très vite "
Bonjour la confiance apres

[kolodz]

Même si Tavis Ormandy trouve un million de faille, j'avoue que cela ne me ferai ni chaud ni froid. Surtout si elles sont corrigées !

Les guidelines d'Adobe en la matière stipulent en effet que les failles découvertes en ce contexte ne doivent pas être mentionnées explicitement sur les bulletins de sécurité.

Sauf que cette personne a un ego tellement bien placé qu'il faut absolument que TOUTE les failles qu'il découvre soient annoncées au grand publique.

Personnellement, je trouve cela déplacer de sa part. Si la politique qu'à mis en place sa boite avec Abode ne lui plait pas, il devrait plutôt se plaindre à sa direction au lieu de s'étendre sur la place publique.

Cordialement,
Patrick Kolodziejczyk.

Troll : Il ne veux pas non plus qu'on ajoute son nom à coté des failles découvertes ?
J'adorai voir le patch annonçant :

Faille Tavis Ormandy N° 250 à 650 corrigé.

-> Je suis l'un des seul dev à considère que ce qu'il y a de importante, c'est que la faille soit corrigé ?

[Freem]

Pour ma part, je dirai que vu qu'on ne connaît pas la gravité des failles, on ne peut pas vraiment juger. (je vais les appeler failles dans le reste de ce post, puisque c'est ce qui est supposé depuis le début)

Comme le souligne le post ci dessus, le plus important est effectivement qu'elles aient été corrigées.
D'un autre côté, il me semble aussi logique que le gars souhaite plus de transparence, mais à en juger par le nombre de failles qu'il à découvertes, le type est payé pour ça.

Vous vous imaginez si on indiquait le nombre de lignes de codes ajoutées et supprimées à chaque mise à jour?

Les changelogs seraient clairement illisibles, faisant que plus personne ne les lirait.
Et si personne ne les lis, à quoi bon en faire? Alors que c'est justement utile pour ceux qui veulent savoir si oui ou non ils doivent mettre à jour (au hasard, les admin?) et corriger leurs applications internes qui utilisent les fonctions corrigées.

D'un autre côté, il est aussi possible qu'en corrigeant UNE faille, on en corrige 100 d'un coup.
Prenez le cas d'un "strcmp()" en C. Si cette fonction est utilisée dans une fonction du coeur de l'appli, utilisée par une centaine d'autres. On à une faille potentielle sur la 100aine de fonctions l'utilisant. ( dépassement de mémoire, une des plus connues )
Remplacer cette fonction par "strncmp()" corrige donc une seule faille, mais qui était visible en une 100aine d'endroits différents.
Voila comment transformer 400 failles en 17.

Et sinon, les chevilles, ça va, Mr. Ormandy?

[The_Pretender]

Bonjour,
Le plus important reste que les failles soient corrigées.
Après diffuser le nombre ou pas, c'est plus de la communication marketing.