Ca grogne chez les experts Oracle
Il arrive quand, le patch miracle ? demande David Litchfield aux développeurs Oracle. Et de faire remarquer que, si publier des rustines à périodes régulières et précises est une bonne chose pour la quiétude des administrateurs et les plannings de déploiement, cette idée est en passe de ne devenir qu'un souvenir chez Oracle, compte tenu du nombre de « correctifs de correctifs », de « colmatages anticipés » et autres motifs de non-respect des dates de publication de CPU. Du coup, Alexander Kornbrust en rajoute une couche, en précisant que les bouche-trous publiés sont, en outre, relativement poreux et imparfaits. Ce « dialogue de carmélites » entre experts dure déjà depuis quelques jours, et dit tout haut ce que les principaux responsables de SGBD et applications pensent tout bas. La sacro-sainte règle du « patch day » imposée par les éditeurs, si elle s'explique et se comprend dans le domaine des logiciels à finalité essentiellement industrielle et professionnelle, reste tout à fait discutable dans le secteur des systèmes d'exploitation grand public. Là, la rapidité de réaction prime avant tout, d'autant plus que, depuis que s'est amorcée la très nette tendance à la marchandisation des failles et exploits, la notion de « fenêtre de vulnérabilité » n'est plus liée à la moindre date de divulgation. Elle peut même -de plus en plus souvent- s'étendre sur un période occulte précédant de loin tout écrit annonçant la « découverte officielle » d'un trou de sécurité. Simple question de volume de licences en service (ou popularité) par rapport à l'évolution de l'exploitation criminelle des failles.
