Kaspersky a publié les détails d’une nouvelle faille critique de Flash. Alors que la technologie n’en finit plus d’être critiquée, la brèche se révèle dangereuse car est déjà activement exploitée. Le correctif est disponible depuis peu et devrait être installé aussi rapidement que possible.
Flash est victime d’une nouvelle vulnérabilité critique. Elle est déjà exploitée par des pirates, ce qui représente un danger réel pour les utilisateurs. Sur un site, un contenu Flash malveillant, spécialement conçu pour exploiter la faille, peut déclencher un plantage du lecteur. De là, les pirates pourraient obtenir une escalade des privilèges et donc faire déclencher un code arbitraire pour contaminer l’ordinateur. Elle est estampillée CVE-2016-4171 et est présente dans les versions Windows, OS X, Linux et Chrome OS du lecteur.
Un correctif à appliquer rapidement
Selon Kaspersky qui en dévoile certains détails, la faille est déjà exploitée. Elle fait suite à deux autres brèches qui avaient été utilisées par un groupe de pirate nommé StarCruft, qui s’est fait une spécialité des APT (menace persistante avancée). L’éditeur lui connaît deux opérations en cours : Daybreak, lancée en mars 2016 et utilisant la fameuse faille dont il est ici question, et Erebus, qui utilise une autre faille, colmatée depuis.
Adobe propose le correctif depuis cette nuit. Il est recommandé de l’installer sans attendre. Dans le cas d’un navigateur comme Chrome, Internet Explorer ou Edge – qui intègrent une version isolée du plugin – le correctif est également disponible. Il suffit d’aller vérifier les systèmes de mise à jour associés.
Trois failles critiques exploitées en trois mois
Comme l’indique Kaspersky, il s’agit de la troisième faille critique en trois mois exploitée activement avant de recevoir un correctif. Ces problèmes de sécurité n’amélioreront pas la réputation désastreuse de Flash, dont tout le monde ou presque cherche à se débarrasser désormais. Dernier acteur en date, Apple qui a annoncé que Safari 10 désactiverait par défaut le plugin, avec possibilité de le réactiver manuellement si besoin. Une approche retenue par Firefox depuis quelque temps.
Notez enfin que les utilisateurs de l’outil EMET (Enhanced Mitigation Experience Toolkit) de Microsoft étaient protégés contre l’exploitation de cette faille.
Commentaires (22)
Le principe d’EMET n’est pas mal en soi, et je l’utilise en v3 où il se contente de faire son job, mais quand il décide d’en faire à sa tête, et il est plutôt chatouilleux dans les versions récentes, rien ne va plus.
" />
Je me suis débarrassé de Flash depuis au moins 2 ans, et les passage de sites de streaming en HTML5 y a bien aidé. Si je tombe encore sur un site qui me demande Flash pour une video (genre le Figaro je crois…), je zappe. Pas question de le réinstaller.
Il y a encore des sites grand public ou autre qui imposent le Flash ?
Vivement que ce logiciel disparaisse de l’écosystème….
En visitant le lien donné par David, on trouve effectivement quelques infos. C’est orienté entreprise, ou c’est une solution qu’on peut s’installer à la maison, de manière similaire à l’antivirus ? Est-ce si différent d’un antivirus avec détection heuristique ?
Fort heureusement, les porn sites sont majoritairement en html5. Ce qui va garantir l’arrêt de flash, définitivement. On y surf en total sécurité. Sortez couverts hein !
" />
Le dernier gros site que je visite qui utilise flash est Twitch.
La raisons est principalement technique car le streaming vidéo (HLS) n’est pas encore supporté par tout les navigateurs.
Tiens au passage, je viens de voir qu’ils ont repoussé la date limite d’existence de la page des téléchargements hors-ligne de flash. Elle est maintenant fixée au 30 juin.
Sur mon poste, il provoque un crash de n’importe quelle application Office 365 lors de leur démarrage. MS qui fait planter MS. Je trouve ça plutôt marrant.
+deezer.
Franchement, le monde devrait lancer une class action contre Adobe pour cette horreur de Flash, depuis le temps, vu tous les dégâts…
noco.tv qui utilise encore le flash 
" />
on peut pas détruire flash, sérieux ce serait quand même plus simple.
Exact. Déjà que l’e-sport est pas trop une de mes tasses de thé, mais les rares fois où ça m’aurait intéressé, j’ai vu Twitch -> faut Flash -> à la poubelle le lien…
Et encore, à mes débuts, je devais faire des sites en Flash (certes on déconnait bien) mais je détestait déjà ça… Increvable la bête…
Si seulement il pouvait y avoir plus de 3D sur les sites pornos…
3D Vision a besoin de Flash pour afficher de la 3D dans les navigateurs.
C’est totalement différent dans le principe, c’est un outil destiné à combler des failles connues en forçant l’utilisation d’un niveau de sécurité plus élevé. Mais certains logiciels ne sont pas fait pour qu’on trafique leur gestion mémoire par exemple. Au hasard, certains logiciels Microsoft.
" />
Bon, tu sembles me prendre de haut, donc je vais pas prendre de pincettes :
source trouvé en 1 seconde sur Google ->https://fr.wikipedia.org/wiki/%C3%89cosyst%C3%A8me#Extension_de_la_notion_au_mon…
Je vais pas développer, je pourrai, métaphoriquement, écrire (encore) une thèse sur le sujet.
Un surfeur de l’Ile Maurice vivant à Paris…
" />
Il connaitrait pas quelqu’un chez bloctel.me ?