Quatre nouvelles failles Office en question

Alors que Microsoft vient tout juste de publier son
bulletin de sécurité du mois d'avril, différents rapports font état de la découverte de nouvelles vulnérabilités affectant la suite bureautique de l'éditeur, Microsoft Office. Est-ce un hasard que ces failles de type « zero-day », déjà exploitables, soient rendues publiques le jour même de la livraison mensuelle des correctifs Microsoft ?
Probablement pas. Comme le fait remarquer Karthik Raman, chercheur chez l'éditeur McAfee, cette date permet aux failles découvertes de bénéficier d'une exposition médiatique maximale. Pour l'instant, Microsoft s'est contenté d'affirmer que ces prétendues vulnérabilités étaient à l'étude.
Trois de ces failles concernent le traitement de texte Word 2007 et permettraient l'exécution de code distant ou la saturation du système, conduisant celui-ci à l'erreur fatale. La quatrième est relative aux fichiers . hlp, utilisés par Microsoft pour ses rubriques d'aide. Plusieurs internautes indiquent avoir réussi à reproduire avec succès les conditions permettant l'exploitation de ces failles. Une fois avérées, ces dernières devront être analysées pour savoir si d'autres versions d'Office en sont potentiellement victimes.

Lire cette brève sur le site

C'est tout le problème des patchs 1 fois par mois... Quand on veut paraitre crédible auprès de ces utilisateurs on corrige les failles le plus vite possible après leur découverte et on publie le correctif dès qu'il est prêt et testé. :neutre:

dubois a écrit:
Comment se fait-il qu'on s'habitue à toutes ces failles dans les logiciels Microsoft ?
Plusieurs failles par mois dans XP sorti depuis 5 ans, et des failles nombreuses dans le Pack Office et autres logiciels tels que IE, WMP etc...

Il parait que pour Vista ça sera rebelote :neutre:

dubois a écrit:
Comment se fait-il qu'on s'habitue à toutes ces failles dans les logiciels Microsoft ?
Plusieurs failles par mois dans XP sorti depuis 5 ans, et des failles nombreuses dans le Pack Office et autres logiciels tels que IE, WMP etc...

Parceque si le logiciel n'avait aucune faille, tu serais bien emmerdé pour troller.....

Celelia a écrit:
Il parait que pour Vista ça sera rebelote  :neutre:

Il parait que pour tous les OS c'est pareils.... C'est balot :whistle:

Juste une idée mais, des fois, j'ai l'impression que les "chercheurs de failles" se concentrent sur windows et office, ce qui donne une possible impression qu'il y a toujours de failles. Mais si ces mêmes personnes se penchaient avec autant d'engouement sur les autres systèmes, n'y aurait-il pas tout autant de failles découvertes ?
Comme je l'avais dis, c'est juste une idée, je ne prend en aucun cas la défense de kro$oft.

Celelia a écrit:
Il parait que pour Vista ça sera rebelote  :neutre:

Comment peux-tu savoir cela ?
On ne peut connaître le nombre de failles dans Vista ...

revlis a écrit:
Parceque si le logiciel n'avait aucune faille, tu serais bien emmerdé pour troller.....

:MDR :lol:

tampigns a écrit:
Il parait que pour tous les OS c'est pareils.... C'est balot  :whistle:

Ouais sauf que là tu payes... c'est balot :whistle:

A vous lire, vous êtes tous des programmeurs système, des pondeurs de code à la ligne parfaite, bug free ... commencez par programmer ne serait ce qu'un Tetris sans bug et on en reparle.

KarLKoX a écrit:
A vous lire, vous êtes tous des programmeurs système, des pondeurs de code à la ligne parfaite, bug free ... commencez par programmer ne serait ce qu'un Tetris sans bug et on en reparle.

C'est clair.
De nos jours, pour sortir un logiciel sans bug, il faut soit venir d'une autre planète, soit coder un Hello World (ou pas loin). Quand en plus c'est un travail d'équipe, ça démultiplie les risques.
Alors je vous raconte pas pour un MS Office.

tarcal a écrit:
Juste une idée mais, des fois, j'ai l'impression que les "chercheurs de failles" se concentrent sur windows et office, ce qui donne une possible impression qu'il y a toujours de failles. Mais si ces mêmes personnes se penchaient avec autant d'engouement sur les autres systèmes, n'y aurait-il pas tout autant de failles découvertes ?
Comme je l'avais dis, c'est juste une idée, je ne prend en aucun cas la défense de kro$oft.

C'est tout à fait normal, les "chercheurs de failles" et autres hackers veulent faire parler d'eux, donc ils s'attaquent aux logiciels/systèmes d'exploitation qui couvrent le plus le marché. Comme ça on parle de leurs découvertes dans tous les sites de news informatique et ça flatte leur égo.

Sinon pour ce qui est des failles dans windows & co, bah il y en aura toujours, il n'y a pas de super programmeur infaillible.

azuriel a écrit:
Ouais sauf que là tu payes... c'est balot :whistle:

Je paie pour un système globalement meilleur pour mon utilisation, mais malheureusement le système parfait n'existe pas.
Hormis VxWorks (avec Tornado pour dev) :love:

tampigns a écrit:
Je paie pour un système globalement meilleur pour mon utilisation, mais malheureusement le système parfait n'existe pas.
Hormis Tornado  :love:

Je sais, je te taquine, je suis d'accord avec toi, au fond ;)

azuriel a écrit:
Je sais, je te taquine, je suis d'accord avec toi, au fond ;)

Tss... fallait pas dire ca... comment ca partira en troll maintenant :(


Pour ce qui est de trouver les failles pendant le dev on a maintenant des outils très performants de tests et avec certaines méthodes (comme les exigences pour la DO 264 pour l'avionique) on peut arriver à un système "presque" parfait mais j'ai observé que les temps de développement sont environ triplés voir quadruplés..... :/

tampigns a écrit:
Tss... fallait pas dire ca... comment ca partira en troll maintenant  :(
Pour ce qui est de trouver les failles pendant le dev on a maintenant des outils très performants de tests et avec certaines méthodes (comme les exigences pour la DO 264 pour l'avionique) on peut arriver à un système "presque" parfait mais j'ai observé que les temps de développement sont environ triplés voir quadruplés..... :/

Je sais pas si tu parles des tests unitaires, par exemple, mais chez nous, ca ne double même pas le temps de dev, heureusement....

tarcal a écrit:
Juste une idée mais, des fois, j'ai l'impression que les "chercheurs de failles" se concentrent sur windows et office, ce qui donne une possible impression qu'il y a toujours de failles. Mais si ces mêmes personnes se penchaient avec autant d'engouement sur les autres systèmes, n'y aurait-il pas tout autant de failles découvertes ?
Comme je l'avais dis, c'est juste une idée, je ne prend en aucun cas la défense de kro$oft.

Ca c'est parce que tu lis que Clubic ou les sites de ce style.
Abonne toi aux malling list FullDisclosure et Secrity Focus, tu verra que des failles de sécurité, il en sort partout, et c'est normal. Une logiciel evolue, il n'est jamais parfait.
La différence entre Windows et Linux, c'est que sous Linux, le patch sort tout de suite dès que la faille est trouvée.
L'autre grosse différence, c'est que généralement, une faille sous Windows est trouvé à la suite d'un plantage pas normal. Ils essayent alors de reproduire le plantage pour essayer de le détourner ensuite. Et la on dira qu'il y a une faille (on aura eu le temps de coder son Virus entre temps).
Sous Linux, on regarde directement le code, et l'on découvre une faille sans même qu'il y ai besoin de savoir si elle est exploitable ou pas. Donc quand une faille sort sur un soft libre, il y a encore du boulot pour réussir a utiliser la faille (Même dès fois c'est impossible).

azuriel a écrit:
Je sais pas si tu parles des tests unitaires, par exemple, mais chez nous, ca ne double même pas le temps de dev, heureusement....

Pour la DO254:
Pour chaque parties de code on doit être relu par un autre qui n'est pas engagé dans le développement chaque partie de code doit être spécifiquement commentée et faire référence à trois cahiers de spécifications qui ont été écrits précédemment à chaque fois par des personnes différentes....
Les tests, je n'en parle meme pas :sweet:

tampigns a écrit:
Pour la DO254:
Pour chaque parties de code on doit être relu par un autre qui n'est pas engagé dans le développement chaque partie de code doit être spécifiquement commentée et faire référence à trois cahiers de spécifications qui ont été écrits précédemment à chaque fois par des personnes différentes....
Les tests, je n'en parle meme pas  :sweet:

Ok, nous avec les critères communs, c'est de la rigolade à côté ;)

Predicator a écrit:
Il est pas encore banni celui là ? Mais que font les admins... :riva:
C'est avec ce genre de commentaire que les gens croient que l'herbe est plus verte ailleurs... À tort...

Ca dépend dans quel domaine...
Vouloir tout mettre à égalité, c'est oublier que certains programmes et OS sont moins touchés que d'autres par les bugs et les failles. Et c'est dommage.

azuriel a écrit:
Ca dépend dans quel domaine...
Vouloir tout mettre à égalité, c'est oublier que certains programmes et OS sont moins touchés que d'autres par les bugs et les failles. Et c'est dommage.

Il y a la façon de le dire aussi ...

PS : D'ailleurs y a pas grand monde pour la faille Apple. :ane: