Non. J'étais étonné que des chercheurs en sécurité dévoilent une faille de sécurité avant même que le moindre patch de sécurité ait pu être déployé. Cela aurait pu ruiner leur réputation de sérieux dans le domaine.
En sachant que Microsoft avait publié les patchs de sécurité une semaine avant, je comprend mieux qu'ils aient publié leurs découvertes. Mais cela a quand même été rapide, avant que les distributions Linux aient publié les leurs, sans parler des systèmes Android.
Tous les détails n'ont pas été publiés, OK, mais il y a assez de détails dans ce que j'ai lu pour orienter dans la bonne direction des crackers.
Ça suit globalement toujours le même procédé.
La faille est communiquée à qui en a besoin puis ils se mettent d'accord sur un jour de divulgation et release de patch.. (mais déjà à cette étape elle peut se retrouver entre de mauvaises mains.. Et donc être diffusée à de méchants pirates)
Le problème c'est que si sur Linux tu sors les patches trop tôt du reverse engineering peut être fait..
Pour les failles heartbleed ou shellshock (là c'était surtout côté serveur) la publication des patches a été faite le jour même de la divulgation pour toutes les distributions.
Donc généralement quelques heures avant la divulgation de la faille tu peux mettre à jour ton serveur/pc.
Si tu dois attendre que tout le monde ait patché tu n'as pas fini d'attendre.. Google par exemple laisse 90 jours. Au 91 ème la faille est publiée patch ou pas.
Ça a été le cas pour une faille identifiée le 25 novembre 2016. Divulgation le 23 février 2017. Microsoft a sorti le patch en mars..
Source
https://www.generation-nt.com/microsoft-edge-ie-vulnerabilite-0day-google-actualite-1939860.html