Anciennes applications, nouvelles vulnérabilités

L'une des meilleures défenses de sécurité que vous pouvez avoir est un ordinateur entièrement patché. Pas seulement le système d'exploitation, mais toutes les applications - grandes et petites - doivent être complètement à jour. Mais vous assurer que vous disposez des derniers correctifs ne suffit pas. Vous devez vérifier et voir si les anciennes versions vulnérables du logiciel que vous avez corrigé ne sont pas encore installées et disponibles. Malheureusement, de nombreuses applications bien connues, lorsqu'elles sont corrigées, ne suppriment pas les anciennes versions. Les sites Web malveillants peuvent souvent choisir la version exécutée par votre client.Par conséquent, même si vous pensez être en sécurité avec les derniers correctifs, les anciennes versions de votre logiciel peuvent être appelées à la place pour exécuter une vulnérabilité connue dont vous aviez depuis longtemps cessé de vous inquiéter.

De nombreux outils de gestion des correctifs vérifient uniquement que les dernières versions des logiciels installés sont corrigées. Assurez-vous que votre outil d'analyse des correctifs passe au peigne fin le disque dur à la recherche d'anciennes versions d'application. L'un de mes outils préférés pour détecter les correctifs manquants est l'inspecteur de logiciels de Secunia. Il inspectera votre disque dur et validera l'état du correctif de plus d'un millier d'applications populaires. L'inspecteur de logiciels est disponible dans une version Java en ligne gratuite; une nouvelle version exécutable installable, gratuite et basée sur le consommateur; et une version commerciale prête à l'emploi. Les versions commerciales et exécutables grand public gratuites analyseront et rapporteront non seulement, mais surveilleront proactivement les logiciels nouvellement installés. C'est assez chouette. (Note de l'auteur: "Nifty" est un terme technique.)

[ La chronique de Roger Grimes est maintenant un blog! Recevez les dernières nouvelles en matière de sécurité informatique sur le blog Security Adviser. ]

Si vous exécutez Secunia Software Inspector, faites-le en mode approfondi. Cela prend une minute ou deux pour fonctionner contre 15 secondes pour le mode non-approfondi, mais vous trouverez plus de correctifs manquants. Je n'ai pas encore exécuté l'inspecteur de logiciels sur un ordinateur pour la première fois et je n'ai pas trouvé de correctifs manquants. Ce qui est encore plus surprenant, c'est la fréquence à laquelle l'inspecteur de logiciels trouve des versions plus anciennes et vulnérables des logiciels installés. Certaines des anciennes versions sont installées dans des dossiers séparés, et d'autres sont installées avec les versions plus récentes.

Les applications les plus courantes que je trouve avec les versions vulnérables précédentes sont Sun Java, Adobe Flash, Adobe Shockwave, Adobe Acrobat Reader, RealPlayer et Microsoft .Net Framework. Du côté Linux / Unix / BSD, vous pouvez ajouter Firefox et Thunderbird, car de nombreux utilisateurs finissent par installer des versions plus récentes dans des dossiers nommés d'après les nouveaux numéros de version.

Lorsque vous mettez à jour Java, Flash et .Net Framework à l'aide du mécanisme officiel, le package installe la nouvelle version, mais laisse la version précédente derrière. Windows / Microsoft Updates détecte les anciennes versions de .Net Framework et essaie de les maintenir à jour. Mais Java, Flash et une vingtaine d'autres fournisseurs ajoutent la version la plus récente, abandonnent l'ancienne version et ne la corrigent jamais.

De nombreux fournisseurs, en particulier Sun et Adobe, ont peur de supprimer les anciennes versions car les versions plus récentes peuvent interrompre les fonctionnalités des anciennes applications. Et ils ont le droit d'être prudents: j'ai vu des milliers de postes de travail soudainement faire surface avec une application critique "cassée" à cause d'une mise à jour nocturne.

Même si la mise à jour interrompt les applications sur, disons, seulement 0,5% de sa base de clients, un grand fournisseur avec des centaines de millions de clients cherche potentiellement un million ou plus d'utilisateurs finaux en colère. Ce n'est pas une façon d'augmenter la part de marché.

Mais si les mises à jour ne posent des problèmes que sur une petite minorité de systèmes, est-il juste de laisser la plus grande majorité à des risques futurs? Je souhaite que plus de fournisseurs avertissent les utilisateurs pendant l'installation / la mise à jour que les anciennes versions peuvent être laissées pour des raisons de compatibilité, puis donne aux utilisateurs la possibilité de supprimer l'ancienne version lors de la nouvelle installation. Les mises à jour d'entreprise peuvent simplement installer le correctif avec un commutateur qui force l'ancienne version à rester ou à être supprimée.

Si ce problème de plusieurs versions d'application est relativement nouveau pour vous, ou si vous n'avez rien fait à ce sujet, développez un nouveau plan d'attaque de correctifs et résolvez le risque. Tout d'abord, recherchez et détectez les anciennes versions des applications. Lorsque vous trouvez ces anciennes versions de programme, assurez-vous qu'elles ne sont plus nécessaires pour prendre en charge d'autres applications actuellement utilisées.

Si cela n'est pas nécessaire, supprimez ou désinstallez l'ancienne version. Parfois, c'est aussi simple que de supprimer les anciens fichiers et / ou répertoires. Parfois, certains programmes combattent le processus de désinstallation. Par exemple, certaines anciennes versions de Flash ne vous permettront pas de supprimer le fichier, quel que soit votre statut d'administrateur. Si cela se produit sous Windows, essayez l'applet Ajout / Suppression de programmes, exécutez le programme de désinstallation personnalisé du programme, modifiez les autorisations pour empêcher l'exécution, activez le kill bit (s'il s'agit d'un contrôle ActiveX) ou recherchez sur Internet des méthodes supplémentaires. Enfin, implémentez une nouvelle politique de correctifs qui prend en compte les anciennes versions d'applications laissées pour compte.

Fournisseurs de logiciels, si vous ne désinstallez pas la version précédente, faites-le nous savoir. Mieux encore, donnez-nous le choix lors de la mise à jour de conserver ou de supprimer l'ancienne version. Vous obtiendrez des points bonus si vous n'essayez pas d'introduire un logiciel tiers non lié dans votre processus de correctif.

Podcast Sun et le vôtre vraiment