Adobe vient de publier une mise à jour critique pour Flash. Deux douzaines de failles y sont corrigées, dont une particulièrement grave et déjà exploitée par les pirates.
Même si l’actualité autour de Flash s’est calmée avec le temps, la technologie d’Adobe revient parfois devant la scène pour des problèmes de sécurité. Elle a été de nombreuses fois affectée par des soucis de ce type, l’éditeur n’étant venu que tardivement sur des méthodes de développement plus strictes. Même si la situation s’est globalement améliorée, elle rencontre encore parfois de sérieux impairs.
Une faille critique déjà exploitée
C’est précisément le cas avec la publication d’une mise à jour corrigeant pas moins de 23 failles, dont plusieurs sont critiques. L’une d’entre elles, estampillée CVE-2016-1010, est déjà exploitée dans la nature et revêt donc un certain caractère d’urgence. Selon Adobe, les rapports à ce sujet font état d’attaques « limitées et ciblées », suggérant que la brèche est utilisée dans le cadre de scénarios soigneusement préparés.
La faille, découverte par Anton Ivanov de Kaspersky Lab, repose sur un dépassement d’entier. Si un pirate parvient à l’exploiter, il peut faire exécuter un code arbitraire. De là, on peut imaginer le type de scénario qu’Adobe aborde dans son bulletin : un email ou n’importe quel message renvoyant vers un site, où l’une des pages contient un contenu Flash spécialement conçu pour tirer parti de la vulnérabilité. De là, le déclenchement d’un code pourrait servir à installer un malware particulier et finalement à prendre le contrôle de la machine.
Une voie royale pour les pirates
Ce type de brèche est du « pain béni » pour les pirates. Le lecteur Flash n’obéit pas en effet forcément à l’ensemble des mesures de protection classiques d’un navigateur. Si beaucoup souhaitent sa disparition aujourd’hui, c’est qu’il constitue un code binaire sur lequel l’éditeur d’un navigateur n’a pas prise. En dépit des multiples protections mises en place par Chrome, Firefox, Internet Explorer ou plus récemment Edge, Flash constitue une porte d’accès supplémentaire, comme on a pu le voir à plusieurs reprises dans les concours Pwn2Own.
Quoi qu’il en soit, Adobe recommande de mettre à jour Flash aussi rapidement que possible. Sous Windows et OS X, la dernière révision passe ainsi à la 21.0.0.182, tandis que sur Linux, il s’agit de la 11.2.202.577. Chrome, Edge et Internet Explorer 10/11 disposent d’une intégration spéciale de Flash et sont donc mis à jour automatiquement pour récupérer la dernière mouture.
À quand un contrôle total sur les navigateurs intégrant Flash ?
On rappellera d’ailleurs que ces navigateurs fournissent un curieux paradoxe autour de Flash. Beaucoup aujourd’hui souhaitent désinstaller le lecteur puisque les contenus se sont raréfiés, notamment sur les sites proposant du streaming vidéo. Mais si l’on utilise un navigateur de Google ou de Microsoft, le lecteur Flash est obligatoirement présent, même s’il peut être désactivé. Intégré de la sorte pour des raisons de commodité et de sécurité, le lecteur devrait désormais disposer d’une option de suppression complète.
Commentaires (30)
#1
Personnellement, j’ai adopté un bon compromis : les contenus Flash sont activés à la demande. Ainsi, j’évite les problèmes de sécurité, la lourdeur des animations Flash tout en gardant la possibilité de l’activer si je le veux. Heureusement, les sites qui ont besoin de Flash sont de plus en plus rares.
#2
Effectivement, les lecteur youtube “embedded” sont resté en flash, comme par exemple dans LIDD.
Mais même là, je crois que google fait de moins en moins d’effort, il me manque le 3⁄4 de l’interface du lecteur.
#3
Tu es sur Firefox ?
Le défaut de cette solution, c’est que certain sites arrivent à détecter le «flash on demand» et du coup balance des lecteurs flash sans qu’on l’ai activé. Il faut désactiver flash complètement pour qu’ils balancent les contenus html5 only. C’est surement une faille côté Firefox.
#4
Quand je pense qu’autour des années 2000 certains sites étaient parti sur le “tout flash” " />
On était vraiment à poil sur le net " />
#5
Ah j’ai le même souci, si quelqu’un a une solution je suis preneur !
#6
Ben du coup j’ai opté pour une solution plus radicale.
J’ai une extension qui me permet de cocher pour activer/désactiver les plugins. Flash n’est jamais sur «on demand». Mais je trouve ça chiant, il faut penser à re-désactiver flash à chaque fois.
#7
Au taf, j’ai réglé le truc :
une GPO site au boot qui démarre le “Adobe Flash Player Update Service”, couplé au mms.cfg kivabien (SilentAutoUpdateEnable=1 ; AutoUpdateDisable=0) et je suis plus emmerd" />
Je viens à l’instant de vérifier sur ma propre machine : Flash 21,0,0,182 installed " />
Edit : ça doit être pareil sur toutes les machines du parc qui ont une install Flash…
Ce truc Adobe, j’y prête même plus attention… " />" />
#8
f…la..sh… ? à part la série, connait pas " />
#9
#10
#11
Depuis que ma e-carte bleue est passée en HTML 5 flash c’est terminé ! " />
#12
Oui, sur Firefox.
Ah c’est pour ça que sur Dailymotion, je dois toujours activer Flash ? À moins qu’ils ne soient pas encore passés au HTML5 " />
#13
#14
c’est pareil avec chrome il me semble
c’est pas vraiment une faille, la plupart des sites qui ne détectent pas flash vont afficher une page que va demander d’installer flash, c’est pour ça qu’en on-demand le navigateur laisse quand même flash “se faire détecter” par le site.
#15
un message: abandonnez le flash.
#16
Non tu n’as pas compris.
Quand flash est sur «on demand» dans firefox, les sites web arrivent à détecter la présence de flash quand même !
Il suffit de tester sur dailymotion pour s’en rendre compte:
Grosse faille de sécu.
#17
“les contenus se sont raréfiés, notamment sur les sites proposant du streaming vidéo. ”
Le nombre a diminué par rapport au HTML5 mais de là à dire “raréfié”…. Flash (que je déteste personnellement et souhaite voir disparaître) est encore énormément présent. Sans compter un univers de petits jeux en Flash souvent très sympathiques
#18
#19
J’avais ce même problème, les embed en flash malgré que le html5 était bien activé. Il a fallu que je débloque les cookies tiers pour que ça fonctionne comme il faut
#20
Étrange, avec Flash ‘on demand’ les embed YouTube sont en html5 chez moi :-/
#21
#22
Ben là c’est quand même un défaut de Firefox ! Ça veut dire, que (peut être pour combler le défaut des sites dont tu parles), quand firefox est sur on-demand, il déclare aux sites qu’on a le plugin flash. Alors que ça devrait être l’inverse, les contenus flash devraient déclencher le on-demand.
#23
sauf que la plupart des sites ne balanceront du contenu flash que si flash est détecté. Sinon il te renverront vers une page te demandant d’installer flash. C’est pour ça que le on-demand a été implémenté comme ça, c’est pas un défaut, c’est le meilleur compromis pour faire fonctionner le on-demand sans trop d’emmerdement.
Par contre ce qui serait bien c’est de pouvoir complètement désactiver le plugin flash manuellement sur certains sites , et en effet ça c’est pas une fonctionnalité implémentée. Le seul truc qu’on peut faire c’est le désactiver ou l’activer globalement.
#24
Oui ta solution à liste blanche + liste noire pour flash (et les plugins en général) est une bonne idée. Un peu comme ce qui se fait avec les extensions.
#25
Pour qu’il soit on-demand, il faut que le site sache que Flash est là.
#26
Pourtant il n’y a pas 50 scénarios…
Les sites n’ont qu’à utiliser l’user agent (je suis pas trop pour cette solution, mais ils l’utilisent déjà) pour déterminer si le nav est compatible html5, sinon lancer le lecteur flash.
Faire comme Google quoi, html5 par défaut et si pas compatible -> flash.
Vivement qu’on soit débarrassé de cette m. Enfin bon avec les DRM comme standard, les plugins sortent par la porte, et rentre par la fenêtre " />
#27
Chez moi sur FX c’est, ni activé, ni à la demande.
Il est purement et simplement désactivé.
Vu des sites Web, je n’ai pas flash.
Dans les statistiques GA / Piwik, s’il sort de plus en plus de personnes
Le seul truc qui me chagrinait, c’est le français Deezer…. (et son interface tout flash)
J’ai résilié et je suis parti chez le suédois Spotify…
#28
mais achevez le !!!
#29
Cette cochonnerie est un vrai gruyere à virus !
#30