Un trou vieux de huit mois non bouché dans SQL Server ?

Microsoft a confirmé la semaine passée l’existence d’une faille dans SQL Server sur laquelle ses équipes travaillent depuis avril 2008, soit huit mois. En septembre, un certain nombre de spécialistes de la sécurité informatique estimaient que la rustine avait été appliquée dans un lot de correctifs. Mais Microsoft n’a pas confirmé – ni d’ailleurs infirmé – l’information.

La semaine passée, les clients ont cependant été informés qu’un problème pouvait survenir sur de vieilles versions du SGBDR. Une information qui fait suite à la divulgation de la faille par Bernhard Mueller, l’un de ses découvreurs. Selon lui, Microsoft a été prévenu de son existence en avril dernier sans qu’elle ne soit divulguée. Ensuite l’éditeur s’est borné à donner quelques nouvelles des travaux de correction jusqu'à fin septembre puis… plus rien !

Du coup, Bernhard Mueller a envoyé quatre mails de relance pour savoir si le problème était corrigé avant finalement de divulguer la faille le 9 décembre du fait du manque d’information en provenance de Microsoft. De quoi réveiller Redmond qui explique avoir immédiatement débuté des investigations (en avril, dès lors que la faille a été connue, ndlr)  "et avoir continué de travailler sur le sujet depuis cette époque." Mais toujours aucune réponse concernant une éventuelle rustine. Rustine qui devrait cependant arriver prochainement selon Wolfgang Kandek, CTO chez Qualys, spécialiste de la sécurité du SI, interrogé par notre confrère Infoworld qui a rendu l’histoire publique.