Flash : Adobe colmate une faille critique déjà exploitée
Oui, encore
Le 17 juin 2016 à 12h20
3 min
Logiciel
Logiciel
Kaspersky a publié les détails d’une nouvelle faille critique de Flash. Alors que la technologie n’en finit plus d’être critiquée, la brèche se révèle dangereuse car est déjà activement exploitée. Le correctif est disponible depuis peu et devrait être installé aussi rapidement que possible.
Flash est victime d’une nouvelle vulnérabilité critique. Elle est déjà exploitée par des pirates, ce qui représente un danger réel pour les utilisateurs. Sur un site, un contenu Flash malveillant, spécialement conçu pour exploiter la faille, peut déclencher un plantage du lecteur. De là, les pirates pourraient obtenir une escalade des privilèges et donc faire déclencher un code arbitraire pour contaminer l’ordinateur. Elle est estampillée CVE-2016-4171 et est présente dans les versions Windows, OS X, Linux et Chrome OS du lecteur.
Un correctif à appliquer rapidement
Selon Kaspersky qui en dévoile certains détails, la faille est déjà exploitée. Elle fait suite à deux autres brèches qui avaient été utilisées par un groupe de pirate nommé StarCruft, qui s’est fait une spécialité des APT (menace persistante avancée). L’éditeur lui connaît deux opérations en cours : Daybreak, lancée en mars 2016 et utilisant la fameuse faille dont il est ici question, et Erebus, qui utilise une autre faille, colmatée depuis.
Adobe propose le correctif depuis cette nuit. Il est recommandé de l’installer sans attendre. Dans le cas d’un navigateur comme Chrome, Internet Explorer ou Edge – qui intègrent une version isolée du plugin – le correctif est également disponible. Il suffit d’aller vérifier les systèmes de mise à jour associés.
Trois failles critiques exploitées en trois mois
Comme l’indique Kaspersky, il s’agit de la troisième faille critique en trois mois exploitée activement avant de recevoir un correctif. Ces problèmes de sécurité n’amélioreront pas la réputation désastreuse de Flash, dont tout le monde ou presque cherche à se débarrasser désormais. Dernier acteur en date, Apple qui a annoncé que Safari 10 désactiverait par défaut le plugin, avec possibilité de le réactiver manuellement si besoin. Une approche retenue par Firefox depuis quelque temps.
Notez enfin que les utilisateurs de l’outil EMET (Enhanced Mitigation Experience Toolkit) de Microsoft étaient protégés contre l’exploitation de cette faille.
Flash : Adobe colmate une faille critique déjà exploitée
-
Un correctif à appliquer rapidement
-
Trois failles critiques exploitées en trois mois
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/06/2016 à 21h10
Bon, tu sembles me prendre de haut, donc je vais pas prendre de pincettes :
source trouvé en 1 seconde sur Google ->
Je vais pas développer, je pourrai, métaphoriquement, écrire (encore) une thèse sur le sujet.
Le 18/06/2016 à 03h44
Le 19/06/2016 à 10h26
Le 19/06/2016 à 16h23
Un surfeur de l’Ile Maurice vivant à Paris…
" />
Il connaitrait pas quelqu’un chez bloctel.me ?
Le 17/06/2016 à 12h30
Le principe d’EMET n’est pas mal en soi, et je l’utilise en v3 où il se contente de faire son job, mais quand il décide d’en faire à sa tête, et il est plutôt chatouilleux dans les versions récentes, rien ne va plus.
" />
Le 17/06/2016 à 12h30
Je me suis débarrassé de Flash depuis au moins 2 ans, et les passage de sites de streaming en HTML5 y a bien aidé. Si je tombe encore sur un site qui me demande Flash pour une video (genre le Figaro je crois…), je zappe. Pas question de le réinstaller.
Il y a encore des sites grand public ou autre qui imposent le Flash ?
Vivement que ce logiciel disparaisse de l’écosystème….
Le 17/06/2016 à 12h35
En visitant le lien donné par David, on trouve effectivement quelques infos. C’est orienté entreprise, ou c’est une solution qu’on peut s’installer à la maison, de manière similaire à l’antivirus ? Est-ce si différent d’un antivirus avec détection heuristique ?
Le 17/06/2016 à 12h43
Fort heureusement, les porn sites sont majoritairement en html5. Ce qui va garantir l’arrêt de flash, définitivement. On y surf en total sécurité. Sortez couverts hein !
" />
Le 17/06/2016 à 12h46
Le dernier gros site que je visite qui utilise flash est Twitch.
La raisons est principalement technique car le streaming vidéo (HLS) n’est pas encore supporté par tout les navigateurs.
Le 17/06/2016 à 12h50
Le 17/06/2016 à 12h53
Tiens au passage, je viens de voir qu’ils ont repoussé la date limite d’existence de la page des téléchargements hors-ligne de flash. Elle est maintenant fixée au 30 juin.
Le 17/06/2016 à 12h54
Le 17/06/2016 à 13h07
Sur mon poste, il provoque un crash de n’importe quelle application Office 365 lors de leur démarrage. MS qui fait planter MS. Je trouve ça plutôt marrant.
Le 17/06/2016 à 13h15
+deezer.
Le 17/06/2016 à 13h23
Franchement, le monde devrait lancer une class action contre Adobe pour cette horreur de Flash, depuis le temps, vu tous les dégâts…
Le 17/06/2016 à 13h32
noco.tv qui utilise encore le flash 
" />
Le 17/06/2016 à 13h36
on peut pas détruire flash, sérieux ce serait quand même plus simple.
Le 17/06/2016 à 15h01
Exact. Déjà que l’e-sport est pas trop une de mes tasses de thé, mais les rares fois où ça m’aurait intéressé, j’ai vu Twitch -> faut Flash -> à la poubelle le lien…
Le 17/06/2016 à 15h43
Et encore, à mes débuts, je devais faire des sites en Flash (certes on déconnait bien) mais je détestait déjà ça… Increvable la bête…
Le 17/06/2016 à 16h49
Le 17/06/2016 à 17h30
Si seulement il pouvait y avoir plus de 3D sur les sites pornos…
3D Vision a besoin de Flash pour afficher de la 3D dans les navigateurs.
Le 17/06/2016 à 20h23
C’est totalement différent dans le principe, c’est un outil destiné à combler des failles connues en forçant l’utilisation d’un niveau de sécurité plus élevé. Mais certains logiciels ne sont pas fait pour qu’on trafique leur gestion mémoire par exemple. Au hasard, certains logiciels Microsoft.
" />