Connexion
Abonnez-vous

Adobe corrige 23 failles dans Flash, dont une critique déjà exploitée

Un entier qui dépasse les bornes

Adobe corrige 23 failles dans Flash, dont une critique déjà exploitée

Le 11 mars 2016 à 08h41

Adobe vient de publier une mise à jour critique pour Flash. Deux douzaines de failles y sont corrigées, dont une particulièrement grave et déjà exploitée par les pirates.

Même si l’actualité autour de Flash s’est calmée avec le temps, la technologie d’Adobe revient parfois devant la scène pour des problèmes de sécurité. Elle a été de nombreuses fois affectée par des soucis de ce type, l’éditeur n’étant venu que tardivement sur des méthodes de développement plus strictes. Même si la situation s’est globalement améliorée, elle rencontre encore parfois de sérieux impairs.

Une faille critique déjà exploitée

C’est précisément le cas avec la publication d’une mise à jour corrigeant pas moins de 23 failles, dont plusieurs sont critiques. L’une d’entre elles, estampillée CVE-2016-1010, est déjà exploitée dans la nature et revêt donc un certain caractère d’urgence. Selon Adobe, les rapports à ce sujet font état d’attaques « limitées et ciblées », suggérant que la brèche est utilisée dans le cadre de scénarios soigneusement préparés.

La faille, découverte par Anton Ivanov de Kaspersky Lab, repose sur un dépassement d’entier. Si un pirate parvient à l’exploiter, il peut faire exécuter un code arbitraire. De là, on peut imaginer le type de scénario qu’Adobe aborde dans son bulletin : un email ou n’importe quel message renvoyant vers un site, où l’une des pages contient un contenu Flash spécialement conçu pour tirer parti de la vulnérabilité. De là, le déclenchement d’un code pourrait servir à installer un malware particulier et finalement à prendre le contrôle de la machine.

Une voie royale pour les pirates

Ce type de brèche est du « pain béni » pour les pirates. Le lecteur Flash n’obéit pas en effet forcément à l’ensemble des mesures de protection classiques d’un navigateur. Si beaucoup souhaitent sa disparition aujourd’hui, c’est qu’il constitue un code binaire sur lequel l’éditeur d’un navigateur n’a pas prise. En dépit des multiples protections mises en place par Chrome, Firefox, Internet Explorer ou plus récemment Edge, Flash constitue une porte d’accès supplémentaire, comme on a pu le voir à plusieurs reprises dans les concours Pwn2Own.

Quoi qu’il en soit, Adobe recommande de mettre à jour Flash aussi rapidement que possible. Sous Windows et OS X, la dernière révision passe ainsi à la 21.0.0.182, tandis que sur Linux, il s’agit de la 11.2.202.577. Chrome, Edge et Internet Explorer 10/11 disposent d’une intégration spéciale de Flash et sont donc mis à jour automatiquement pour récupérer la dernière mouture.

À quand un contrôle total sur les navigateurs intégrant Flash ?

On rappellera d’ailleurs que ces navigateurs fournissent un curieux paradoxe autour de Flash. Beaucoup aujourd’hui souhaitent désinstaller le lecteur puisque les contenus se sont raréfiés, notamment sur les sites proposant du streaming vidéo. Mais si l’on utilise un navigateur de Google ou de Microsoft, le lecteur Flash est obligatoirement présent, même s’il peut être désactivé. Intégré de la sorte pour des raisons de commodité et de sécurité, le lecteur devrait désormais disposer d’une option de suppression complète.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Quand je pense qu’autour des années 2000 certains sites étaient parti sur le “tout flash” <img data-src=" />

On était vraiment à poil sur le net <img data-src=" />

votre avatar

Ah j’ai le même souci, si quelqu’un a une solution je suis preneur !

votre avatar

Ben du coup j’ai opté pour une solution plus radicale.



J’ai une extension qui me permet de cocher pour activer/désactiver les plugins. Flash n’est jamais sur «on demand». Mais je trouve ça chiant, il faut penser à re-désactiver flash à chaque fois.

votre avatar

Au taf, j’ai réglé le truc :

une GPO site au boot qui démarre le “Adobe Flash Player Update Service”, couplé au mms.cfg kivabien (SilentAutoUpdateEnable=1 ; AutoUpdateDisable=0) et je suis plus emmerd<img data-src=" />



Je viens à l’instant de vérifier sur ma propre machine : Flash 21,0,0,182 installed <img data-src=" />



Edit : ça doit être pareil sur toutes les machines du parc qui ont une install Flash…

Ce truc Adobe, j’y prête même plus attention… <img data-src=" /><img data-src=" />

votre avatar

f…la..sh… ? à part la série, connait pas <img data-src=" />

votre avatar







CryoGen a écrit :



Quand je pense qu’autour des années 2000 certains sites étaient parti sur le “tout flash” <img data-src=" />

On était vraiment à poil sur le net <img data-src=" />





On est en train de sélectionner un nouvel outil BI dans ma boite et un des vendeurs est venu avec une interface complètement en flash, chaque clic sur un graphe ou une table ça moulinait 10s “dans le browser”. Il a mal pris le fait qu’on l’aie écarté aussi vite pour “juste” cette raison <img data-src=" />


votre avatar







DarkMoS a écrit :



On est en train de sélectionner un nouvel outil BI dans ma boite et un des vendeurs est venu avec une interface complètement en flash, chaque clic sur un graphe ou une table ça moulinait 10s “dans le browser”. Il a mal pris le fait qu’on l’aie écarté aussi vite pour “juste” cette raison <img data-src=" />





<img data-src=" />

&nbsp;

&nbsp;Il l’a bien mérité celui là.


votre avatar

Depuis que ma e-carte bleue est passée en HTML 5 flash c’est terminé ! <img data-src=" />

votre avatar

Oui, sur Firefox.



Ah c’est pour ça que sur Dailymotion, je dois toujours activer Flash ? À moins qu’ils ne soient pas encore passés au HTML5 <img data-src=" />

votre avatar







Vekin a écrit :



Oui, sur Firefox.



Ah c’est pour ça que sur Dailymotion, je dois toujours activer Flash ? À moins qu’ils ne soient pas encore passés au HTML5 <img data-src=" />





Justement c’était à des sites type Dailymotion que je pensais ! Va sur Dailymotion en désactivant complètement flash (pas en «on demand») et tu vas voir que le lecteur html5 va se lancer.



Donc il y a bien une faille dans la fonctionnalité de Firefox pour le flash sur demande.


votre avatar

c’est pareil avec chrome il me semble



c’est pas vraiment une faille, la plupart des sites qui ne détectent pas flash vont afficher une page que va demander d’installer flash, c’est pour ça qu’en on-demand le navigateur laisse quand même flash “se faire détecter” par le site.

votre avatar

un message: abandonnez le flash.

votre avatar

Non tu n’as pas compris.



Quand flash est sur «on demand» dans firefox, les sites web arrivent à détecter la présence de flash quand même !



Il suffit de tester sur dailymotion pour s’en rendre compte:





  • flash on demand : le lecteur sera en flash

  • flash totalement désactivé : le lecteur sera en html5



    Grosse faille de sécu.

votre avatar

“les contenus se sont raréfiés, notamment sur les sites proposant du streaming vidéo. ”



Le nombre a diminué par rapport au HTML5 mais de là à dire “raréfié”…. Flash (que je déteste personnellement et souhaite voir disparaître) est encore énormément présent. Sans compter un univers de petits jeux en Flash souvent très sympathiques

votre avatar







CryoGen a écrit :



Quand je pense qu’autour des années 2000 certains sites étaient parti sur le “tout flash” <img data-src=" />

On était vraiment à poil sur le net <img data-src=" />





l’application de création de Site Webaccapella ( anciennement Cariboo ) faisait des sites en rendu flash avant de passer full HTML5 je crois il y a 3 ans&nbsp;


votre avatar

J’avais ce même problème, les embed en flash malgré que le html5 était bien activé. Il a fallu que je débloque les cookies tiers pour que ça fonctionne comme il faut

votre avatar

Étrange, avec Flash ‘on demand’ les embed YouTube sont en html5 chez moi :-/

votre avatar







marba a écrit :



Non tu n’as pas compris.



Quand flash est sur «on demand» dans firefox, les sites web arrivent à détecter la présence de flash quand même !



Il suffit de tester sur dailymotion pour s’en rendre compte:





  • flash on demand : le lecteur sera en flash

  • flash totalement désactivé : le lecteur sera en html5



    Grosse faille de sécu.





    bien sur que si j’ai compris.

    Le problème c’est que le flash on-demand ne marche que si le site détecte que flash est présent.

    Sinon il va soit passer en HTML5 soit afficher un gros message d’erreur demandant d’installer flash, mais le on- demand ne marchera pas.



    Le problème vient surtout des sites qui n’utilisent pas le mode HTML5 par défaut même si flash est présent.


votre avatar

Ben là c’est quand même un défaut de Firefox ! Ça veut dire, que (peut être pour combler le défaut des sites dont tu parles), quand firefox est sur on-demand, il déclare aux sites qu’on a le plugin flash. Alors que ça devrait être l’inverse, les contenus flash devraient déclencher le on-demand.

votre avatar

sauf que la plupart des sites ne balanceront du contenu flash que si flash est détecté. Sinon il te renverront vers une page te demandant d’installer flash. C’est pour ça que le on-demand a été implémenté comme ça, c’est pas un défaut, c’est le meilleur compromis pour faire fonctionner le on-demand sans trop d’emmerdement.



Par contre ce qui serait bien c’est de pouvoir complètement désactiver le plugin flash manuellement sur certains sites , et en effet ça c’est pas une fonctionnalité implémentée. Le seul truc qu’on peut faire c’est le désactiver ou l’activer globalement.

votre avatar

Oui ta solution à liste blanche + liste noire pour flash (et les plugins en général) est une bonne idée. Un peu comme ce qui se fait avec les extensions.

votre avatar

Pour qu’il soit on-demand, il faut que le site sache que Flash est là.

votre avatar

Pourtant il n’y a pas 50 scénarios…



Les sites n’ont qu’à utiliser l’user agent (je suis pas trop pour cette solution, mais ils l’utilisent déjà) pour déterminer si le nav est compatible html5, sinon lancer le lecteur flash.



Faire comme Google quoi, html5 par défaut et si pas compatible -&gt; flash.



&nbsp;Vivement qu’on soit débarrassé de cette m. Enfin bon avec les DRM comme standard, les plugins sortent par la porte, et rentre par la fenêtre <img data-src=" />

votre avatar

Chez moi sur FX c’est, ni activé, ni à la demande.

Il est purement et simplement désactivé.



Vu des sites Web, je n’ai pas flash.

Dans les statistiques GA / Piwik, s’il sort de plus en plus de personnes



qui semblent ne pas avoir flash, il disparaitra du web (et ce sera très     

bien pour la sécu, l’interopérabilité, ainsi que l'autonomie des appareils mobiles)





&nbsp;Le seul truc qui me chagrinait, c’est le français Deezer…. (et son interface tout flash)

J’ai résilié et je suis parti chez le suédois Spotify…

votre avatar

mais achevez le !!!

votre avatar

Cette cochonnerie est un vrai gruyere à virus !

votre avatar







CryoGen a écrit :



Quand je pense qu’autour des années 2000 certains sites étaient parti sur le “tout flash” <img data-src=" />

On était vraiment à poil sur le net <img data-src=" />





Ben en fait, ça n’a pas tellement changé, avec ou sans flash, la NSA veille au grain&nbsp;&nbsp; …&nbsp;&nbsp; <img data-src=" />


votre avatar

Personnellement, j’ai adopté un bon compromis : les contenus Flash sont activés à la demande. Ainsi, j’évite les problèmes de sécurité, la lourdeur des animations Flash tout en gardant la possibilité de l’activer si je le veux. Heureusement, les sites qui ont besoin de Flash sont de plus en plus rares.

votre avatar

Effectivement, les lecteur youtube “embedded” sont resté en flash, comme par exemple dans LIDD.

Mais même là, je crois que google fait de moins en moins d’effort, il me manque le 34 de l’interface du lecteur.

votre avatar

Tu es sur Firefox ?



Le défaut de cette solution, c’est que certain sites arrivent à détecter le «flash on demand» et du coup balance des lecteurs flash sans qu’on l’ai activé. Il faut désactiver flash complètement pour qu’ils balancent les contenus html5 only. C’est surement une faille côté Firefox.

Adobe corrige 23 failles dans Flash, dont une critique déjà exploitée

  • Une faille critique déjà exploitée

  • Une voie royale pour les pirates

  • À quand un contrôle total sur les navigateurs intégrant Flash ?

Fermer