Vidéo: Shellshock Code & the Bash Bug - Computerphile (Novembre 2024)
Toutes les vulnérabilités critiques ne doivent pas être comparées à Heartbleed pour être prises au sérieux. En fait, il n’est pas nécessaire d’évoquer Heartbleed ou Shellshock lorsqu’un nouveau défaut logiciel nécessite une attention immédiate.
La semaine dernière, Microsoft a corrigé une grave vulnérabilité dans SChannel (Secure Channel) existant dans toutes les versions du système d’exploitation Windows depuis Windows 95. Un chercheur d’IBM a signalé le bogue à Microsoft en mai et Microsoft a corrigé le problème dans le cadre de son édition de novembre. Patch mardi publié.
Le chercheur d'IBM Robert Freeman a décrit cette vulnérabilité comme "un bug rare, semblable à une licorne".
Les utilisateurs doivent exécuter Windows Update sur leur ordinateur (si son exécution est automatique), et les administrateurs doivent hiérarchiser ce correctif. Certaines configurations peuvent avoir des problèmes avec le correctif et Microsoft a publié une solution de contournement pour ces systèmes. Tout est pris en charge, non?
FUD élève sa tête laide
Pas tout à fait. Le fait est qu'il y a - sept mois plus tard! - un nombre non négligeable d'ordinateurs fonctionnant toujours sous Windows XP, malgré la fin du support de Microsoft en avril. Les machines XP risquent donc toujours d'être attaquées par l'exécution de code à distance si l'utilisateur visitait un site Web piégé. Mais dans l’ensemble, l’histoire est la même qu’elle l’a été tous les mois: Microsoft a corrigé une vulnérabilité critique et publié un correctif. Patch mardi comme d'habitude.
Jusqu'à ce que ce ne soit pas. Peut-être que les professionnels de la sécurité de l’information sont maintenant tellement blasés qu’ils pensent devoir vendre tout le temps la peur. Peut-être le fait que cette vulnérabilité ait été introduite dans le code Windows il y a 19 ans a-t-il déclenché une sorte de flash-back Heartbleed. Ou nous sommes arrivés à un point où le sensationnalisme est la norme.
Craig Young, chercheur en sécurité chez Tripwire, a déclaré à propos de la mise à jour Microsoft: "Heartbleed était moins puissant que MS14-066 car c’était" juste "un bug de divulgation d’informations et Shellshock était être exploitable à distance que dans un sous-ensemble de systèmes affectés."
C'est devenu une blague - une triste si vous y réfléchissez - que pour que toute vulnérabilité puisse attirer l'attention, nous avons maintenant besoin d'un nom sophistiqué et d'un logo. Peut-être que le prochain aura une fanfare et un jingle accrocheur. Si nous avons besoin de ces signes pour amener les gens à prendre au sérieux la sécurité de l'information, il y a un problème, et ce n'est pas le bogue lui-même. Sommes-nous arrivés au point où le seul moyen d'attirer l'attention sur la sécurité est de recourir à des gadgets et au sensationnalisme?
Sécurité responsable
J'ai aimé ce qui suit: "Il s'agit d'un bogue très grave qui doit être corrigé immédiatement. Heureusement, l'écosystème de mise à jour de la plate-forme Microsoft offre la possibilité à chaque client d'être corrigé de cette vulnérabilité en quelques heures à l'aide de Microsoft Update", a déclaré Philip Lieberman, président de Logiciel Lieberman.
Ne vous méprenez pas. Je suis heureux que Heartbleed ait attiré l'attention, car il s'agissait d'un problème grave qui devait toucher des personnes extérieures à la communauté infosec en raison de son impact considérable. Et le nom de Shellshock - d'après ce que je peux dire - est issu d'une conversation sur Twitter qui a discuté de la faille et des moyens de la tester. Mais il n’est pas nécessaire d’appeler la vulnérabilité SChannel «WinShock» ou de débattre de sa gravité par rapport à ces failles.
Il peut et doit rester autonome.
"Cette vulnérabilité pose un risque théorique sérieux pour les organisations et doit être corrigée dès que possible, mais elle n'a pas le même impact sur le temps de publication que la plupart des autres vulnérabilités récemment rendues public", Josh Feinblum, vice-président de la sécurité de l'information à Rapid7, écrit dans un article de blog.
Lieberman a fait une observation intéressante, notant que la vulnérabilité de SChannel ne ressemblait pas à Heartbleed, car ce n’est pas comme si chaque fournisseur open source ou logiciel client devait résoudre le problème et publier son propre correctif. Un logiciel commercial avec des mécanismes de livraison de correctifs définis, tels que ceux mis en place par Microsoft, évite de s’inquiéter "d’un fouillis de composants de versions et de scénarios de correctifs variables".
Peu importe qu'il soit difficile (selon IBM) ou trivial (selon les partenaires d'iSight) à exploiter. Les discussions en ligne suggèrent qu'il ne s'agit que de la partie émergée de l'iceberg et que la vulnérabilité de SChannel risque de créer un désordre énorme. C'est un bug grave. Parlons de la question sur le fond sans recourir à la tactique de la peur.
