Moab contre iDefense : un sujet du bac - Actualités CSO Alerte

Moab contre iDefense : un sujet du bac

le 18/01/2007, par Marc Olanié, Alerte, 308 mots

Le mois du Bug Apple continue son train-train quotidien, à raison d'une faille commentée par jour, failles tantôt très élitistes et éloignées du noyau, tantôt considérées comme relativement préoccupantes. Inutile de préciser que ce genre d'initiative provoque quelques « réaction » épidermiques, voir extrémistes. Mais n'est-ce pas là également une « réaction » aux initiatives de mercantilisme de la recherche de failles ? Quelle est la plus malsaine: celle consistant à divulguer une information avant toute possibilité de réaction de la part de l'éditeur concerné, ou celle visant à décrédibiliser « gratuitement » la sortie d'un noyau à peine né tel que semble le souhaiter iDefense? Manifestement, l'intensification des divulgations systématiques et l'accroissement des fuzzing automatisés sont concomitants à l'apparition des « primes au bug » instituées par certaines entreprises. ... Enfin, « prime au bug », faut voir ... Car si l'on s'en rapporte aux conditions du concours, le montant de la prime varie selon certains critères bien spécifiques. Dito : « The minimum award for a working exploit is $2,000. In addition to the base award, additional amounts up to $4,000 may be awarded based upon: Reliability of the exploit, Quality of the exploit code, Readability of the exploit code, Documentation of the exploit code ». En d'autres termes, la notion de dangerosité intrinsèque s'efface devant l'esthétique du code servant à tirer parti de la faille. Voilà une vision très personnelle du bug hunting, qui remet en question l'idée même de « catégorie de faille». En marge de cette histoire d'oeuf, de poule et de déterminisme de pacotille, l'on peut également se demander si cette « focalisation » actuelle sur les failles d'un I.E. 7 ou d'un Vista encore plus virtuel que réel n'est pas en train de faire le jeu de ceux qui cherchent à exploiter des trous plus discrets... mais considérablement plus « payants ». Les roulements de tambours médiatiques autour du tout dernier système Microsoft font un peu oublier les problèmes de santé de l'actuel XP.

Toujours des failles béantes dans Java 7 u11

Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vu

le 21/01/2013, par Jean Elyan avec IDG News Service, 440 mots

Une faille Java 0 day en vente 5 000 dollars

Quelques jours après avoir publié un correctif pour une faille zéro day dans les extensions Java découverte la sem

le 18/01/2013, par Jacques Cheminat avec IDG News Service, 241 mots

Attention à la fausse mise à jour Java corrompue

L'éditeur Trend Micro a repéré un morceau de logiciel malveillant qui se fait passer pour le dernier patch pour Java 

le 18/01/2013, par Serge Leblal avec IDG News Service, 430 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »