Un post très intéressant à lire à propos de la démonstration video de David Maynor et d'un article un peu trop alarmiste pour Apple publié sur le WashingtonPost.

Tout à fait d'accord Tev. On peut même étendre ce principe au delà des drivers. Beaucoup de produits sont utilisés en OEM et celà pose les mêmes soucis. A mon sens, dans beaucoup de cas, l'utilisation d'OEM agrandi la fenètre d'exposition aux vulnérabilités.

1- Un chercheur découvre une faille
2- La faille est publiée et rendue public
3- L'éditeur étudie et corrige la faille
----> le client de l'éditeur peut patcher (fin de la fenètre éditeur)
4- Les partenaires OEM étudient la faille et le correctif proposé par l'éditeur (incidence sur l'intégration de l'OEM et l'application du correctif)
5- Le partenaire OEM rend dispo un correctif ou valide le correctif de l'éditeur
----> le client de l'OEM peut enfin patcher (fin de la fenètre OEM)

On retrouve le même soucis dans le monde open-source. On peut prendre comme exemple l'antivirus ClamAv qui est intégré à de nombreux appliances de manière quasi transparente pour l'utilisateur final. Si les développeurs de ClamAv sont réactifs, qu'en est-il des éditeurs qui intègrent le logiciel ? (http://www.vulnerabilite.com/actu/20050 … lamav.html)

La plus part des clients ne savent même pas qu'ils ont du ClamAv et donc ne savent pas que lorsqu'une faille affectant l'antivirus est découverte, il sont probablement aussi vulnérables.