La faille est dans le parseur... pas dans le format !!

Voilà maintenant 2, 3 fois que je tombe sur des articles indiquant la présence d’une faille de sécurité dans le format d’un fichier, c’est tout simplement impossible!

Dans tous les cas, la faille vient du parseur, le programme chargé d’interprêter le format du fichier. C’était le cas dernièrement lors de la découverte de failles de sécurité sur la libFLAC. L’implémentation de référence contenait des failles de sécurité lors de la lecture d’un fichier FLAC spécialement façonné/corrompu. De nombreux journaux/sites ont publié à tort que le format FLAC avait des failles de sécurité, non non et non !! Le format de fichier peut être mauvais car ambigu ou trop complexe, mais il ne peut pas être responsable d’une faille de sécurité!

Bien sûr, puisque l’implémentation de référence FLAC est libre, celle-ci est utilisée par la très grand majorité des logiciels prenant en charge ce format. Dès lors, tous ces logiciels “offraient” ces failles de sécurité. MAIS, sur un bon système comme Linux ;) , il suffisait de mettre à jour la bibliothèque correspondante vers une version corrigée pour corriger tous les programmes :)

Quelques exemples de titres utilisés :

Les deux premiers titres surfent franchement sur le sensationnalisme! Un bon point pour generation-nt qui lui ne tombe pas dans le titre racoleur et mensonger!

Dernièrement, Microsoft a désactivé les parseurs pour certains anciens formats de fichier (1) pour des raisons de sécurité, il s’agit bien de bugs du logiciel (MS Office 2003) lui-même (les différents parseurs concernés) et non d’un problème de sécurité des formats. Microsoft ayant préféré supprimer la fonctionnalité de lecture de ces formats plutôt que d’assurer la maintenance correcte de son logiciel… les utilisateurs apprécieront!

(1) http://www.pcinpact.com/actu/news/41062-microsoft-office-2003-vieux-formats.htm