Pourquoi un temps de réponse si lent et laisser ses utilisateurs vulnérables pendant si longtemps ?

D’après Stephen Toulouse représentant Microsoft, si ils ont pris tant de temps, c’était pour s’assurer qu’un seul patch fixerait tous les problèmes relatifs a cette vulnérabilité: « Nous voulions vraiment prendre toutes les précautions afin que nos investigations soient les plus profondes et étendues possible ».

Marc Maiffret de Eeye estime que de nombreuses attaques utilisant la faille ASN.1 de Windows vont voir le jour très rapidement utilisant toutes sortent de méthodes offertes par l’étendue de la vulnérabilité.

Eeye, afin d’illustrer cette lenteur publie a travers un page web les vulnérabilités qu’ils ont découvertes ainsi que la date a laquelle ils ont communiqué l’information a Microsoft. Bien évidemment ils ne donnent pas de détails quant a la faille en elle même mais ils mettent en évidence le nombre de jours qu’ils estiment dépassés par Microsoft pour fixer le problème. Selon eux, il serait convenable de fournir un patch dans les 30 jours après avoir pris connaissance de la vulnérabilité. Dans les 60 jours c’est encore tolérable mais dépasser cette limite n’est pas acceptable.

Ainsi on apprend que Microsoft est en train de travailler sur sept nouvelles vulnérabilités. On peut compter parmi leur liste, trois vulnérabilités critiques, trois vulnérabilités importantes et une vulnérabilité mineure. La plus ancienne a été reportée le 10 Septembre 2003 (154 jours) et a dépassée leur période d’acceptabilité de 94 jours.

De son coté, Microsoft tente une campagne d’éducation en proposant de downloader des posters : « Eduquez vos élèves, universités et collaborateurs sur les différentes méthodes pour protéger leur PC. »