Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Adobe colmate encore trois failles dans Flash, dont une exploitée depuis des mois

Chaque semaine son correctif

Adobe colmate encore trois failles dans Flash, dont une exploitée depuis des mois

Le 19 octobre 2015 à 06h20

Après une première salve de correctifs en fin de semaine dernière, Adobe revient à la charge avec une nouvelle mise à jour de sécurité pour Flash. Elle comble enfin la brèche détectée la semaine dernière, mais utilisée depuis des mois, ainsi que deux autres au passage.

Les semaines se suivent et se ressemblent pour Adobe. Après une mise à jour bouchant pas moins de 69 failles dans Acrobat, Flash et Reader, Adobe vient de mettre encore une nouvelle mouture de son lecteur Flash en ligne. Trois failles de sécurité sont ainsi comblées.

La première concerne une brèche détectée par Trend Micro et qui était déjà exploitée depuis un bon moment par des pirates, notamment afin de récupérer des données de plusieurs ministères des Affaires étrangères. Si une série de correctifs avait été mise en ligne quelques heures plus tard, aucun ne corrigeait cette brèche. C'est désormais le cas avec Flash en version 19.0.0.226 (sur la majorité des plateformes, mais dans certains cas les numéros de versions ne sont pas les mêmes).

Mais ce n'est pas tout et Adobe en profite pour combler deux autres failles, dont on ne sait pas grand-chose si ce n'est qu'elles touchent les versions antérieures à la 19.0.0.266, et donc la 19.0.0.27 mise en ligne il y a quelques jours seulement. Les bulletins CVE-2015-7647 et 7648 ne donnent que peu d'indications. On y apprend qu'il s'agit de deux brèches différentes, même si les courts descriptifs sont exactement les mêmes : la possibilité d'exécuter du code arbitraire en s'appuyant sur une « confusion de type ».

Comme toujours, il est plus que recommandé de se mettre à jour si ce n'est pas déjà fait. Certains navigateurs l'intègrent directement, dans ce cas il faut également penser à vérifier la version en place. Pour cela, vous pouvez vous rendre sur cette page. Dans tous les cas, ses failles à répétitions ne font qu'alimenter le moulin de ceux qui réclament la fin du lecteur d'Adobe.

Commentaires (41)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Petite faute : “Abode en profite”

Pas trouvé comment la reporter sur la version mobile… Pas de bouton signaler qui apparait par magie comme sur la version classique du site.

votre avatar

En parlant de faille et e flash, depuis quelque temps j’ai des bug d’affichage sous Firefox après la lecture d’une vidéo.



C’est lié ou pas ?

votre avatar

Moi mon Firefox freeze carrément, tu clic partout ça fait rien, mais genre rien, même pas ça te dit que ça ne répond pas, il ne prend rien en CPU ou en RAM mais obligé de kill le process. Ça ne me le fait qu’avec des lecteurs embarqués DailyMotion.

Sur Twitch pas de problème.



Sinon la 19.0.0.266 qui remplace la 19.0.0.27 c’est que je ne suis pas réveillé ou bien même en nommage de version ils sont pas fufutes ?

votre avatar

<img data-src=" />



Et ça continue encore et encore

C’est que le début d’accord, d’accord


<img data-src=" />

votre avatar

266 &gt; 27

C’est juste le nombre de petits bugs corrigé ;)

votre avatar

pour régler ce soucis tu clic sur l’icone de la fenêtre comme pour la réduire dans la barre des tâches puis tu reclic et hop le player se relance, j’ai le même soucis et ça marche

votre avatar

J’aimerais quand même comprendre un truc : comment un tel logiciel, utiliser par probablement 80% des internautes (oui je sors le chiffre de mon chapeau) peut être aussi troué ?

Est-ce que c’est parce que justement tout le monde l’utilise que du coup pas mal de hacker s’y intéressent ou est-ce que les gens d”Adobe ne sont pas capable de coder qu’autrement qu’avec leur pied ?



Perso je trouve ça assez dingue autant de faille dans un tel logiciel.

votre avatar

J’imagine que c’est pour plusieurs raisons, l’une d’elle est ce que permet de faire Flash, ou Java.

votre avatar

C’est surtout que la version précédente c’était la 19.0.0.207.

votre avatar







VilraleuR a écrit :



En parlant de faille et e flash, depuis quelque temps j’ai des bug d’affichage sous Firefox après la lecture d’une vidéo.



C’est lié ou pas ?





Pareil.



Les éléments de pages deviennent aléatoirement noirs, et ne reprennent leurs couleurs qu’en les survolant. Et en général, il faut fermer FF et le rouvrir pour retrouver un comportement normal.


votre avatar

non je ne trouve pas, TU la trouves lourde. Pas moi (et d’autres)

votre avatar







ActionFighter a écrit :



Pareil.



Les éléments de pages deviennent aléatoirement noirs, et ne reprennent leurs couleurs qu’en les survolant. Et en général, il faut fermer FF et le rouvrir pour retrouver un comportement normal.





C’est tout a fait ça ! Encore un complot ;)

&nbsp;


votre avatar

Et couler notre boîte ? <img data-src=" />

Des fois on a malheureusement pas le choix (d’utiliser Java dans notre cas et plus précisément à cause de nos clients).

votre avatar

Si vous vous reposez sur des solutions reposant sur des plugins NPNAPI, ça va pas le faire car ceux-ci seront dans un délai court systématiquement bloqués.

votre avatar

Je sais, faut le dire à nos clients (qui sont juste des collectivités, agglo, conseils généraux, gouvernement, etc <img data-src=" />).

votre avatar

Si coté serveur ça se repose sur autre chose que Java et Flash, pas de souci, les nouveaux navigateurs s’adaptent. Et au pire une petite invitation de passer à IE9+ ou FF30+ de rigueur …

votre avatar







psn00ps a écrit :



Comme le fait remarquer Alpach, c’est juste que Flash est plus connu.

Il y a peu d’actualités  sur les vulnérabilités des bibliothèques Linux,

pourtant utilisées sur la majorités des serveurs web de la planète et des smartphones Android.







Il n’y a eu aucune news ou battage sur openssl ?

les failles android ? Ca à même forcer Samsung à communiquer…

Et puis bon pour bien troller il aurait fallu dire Flash et Java <img data-src=" />







ledufakademy a écrit :



non je ne trouve pas, TU la trouves lourde. Pas moi (et d’autres)





Moi aussi je trouve çà lourd. Ici cette news n’a rien à voir avec la NSA.

Sinon autant de nouveau laisser les troll windows vs linux à chaque news ?



Et puis le reprendre sur “TU trouves” et toi ajouter “et d’autres” … bravo <img data-src=" />


votre avatar

Java est requis pour pouvoir répondre aux appels d’offres. On ne peut passer outre pour signer les documents envoyés.

Sous Edge c’est niet, sous Chrome maintenant aussi, sur certaines plateformes ça passe sous IE11 et d’autres sous Firefox 41 (oui de notre côté on est à jour).

votre avatar







VilraleuR a écrit :



C’est tout a fait ça ! Encore un complot ;)





Ou exploit d’une 0-days <img data-src=" />


votre avatar







WereWindle a écrit :



ouais mais Flash, c’est tous les 3 jours. Les autres ont la gentillesse d’attendre un peu entre deux annonces <img data-src=" />



Quand je pense que j’étais presque arrivé à avoir tous les postes à jour <img data-src=" />

Défaire et refaire c’est toujours travailler… <img data-src=" />







Le truc pour les partisans du moindre effort ! <img data-src=" />

2 fichiers mms.cfg qui contiennent :

AutoUpdateDisable=0

SilentAutoUpdateEnable=1





  • Tu les colles dans C:\Windows\System32\Macromed\Flash et C:\Windows\Syswow64\Macromed\Flash

  • Une gpo qui démarre auto le service AdobeFlashPlayerUpdateSvc et ça roule ! <img data-src=" />

    A chaque reboot, hop ! Tes postes sont à jour ! Personne n’a rien vu ! <img data-src=" />



    Perso ça fait depuis Flash 16 que j’ai mis en place cette procédure, ma claque de me taper, tous les 3 jours, les bulletins de sécurités Adobe… <img data-src=" />



    NB :

    A savoir : L’auto update mms.cfg marche niquel à l’intérieur de la même version majeure.

    Par contre, à chaque changement de version majeure, de 18 à 19 p.ex., faut lancer “manuellement” le setup.exe v19 <img data-src=" />

    Après ça roule…! <img data-src=" />


votre avatar

mms.cfg suite : flash admin guide, chapitre 4 (page 28)

Tout est expliqué ! <img data-src=" />

votre avatar







CryoGen a écrit :



Il n’y a eu aucune news ou battage sur openssl ?

les failles android ? Ca à même forcer Samsung à communiquer…

Et puis bon pour bien troller il aurait fallu dire Flash et Java <img data-src=" />



C’est bien ce que je dis, vous n’avez vu que les plus célèbres.

Un serveur au hasard au bureau:&nbsp;

&nbsp;Ubuntu 14.04.3 LTS

45 packages can be updated.

13 updates are security updates.


votre avatar

+





domFreedom a écrit :



mms.cfg suite : flash admin guide, chapitre 4 (page 28)

Tout est expliqué ! <img data-src=" />





<img data-src=" />

je vais regarder ça. <img data-src=" />


votre avatar







psn00ps a écrit :



C’est bien ce que je dis, vous n’avez vu que les plus célèbres.

Un serveur au hasard au bureau: 

 Ubuntu 14.04.3 LTS

45 packages can be updated.

13 updates are security updates.







C’est la même chose pour windows… en fait c’est la même chose pour touts les logiciels. Là tu cites ubuntu mais ces packages ne sont surement pas tous “ubuntu” non ?



Et là on parle de faille exploitée (donc majeure). La plus part du temps on entend pas parler des mises à jours sauf si la faille est déjà exploité ou si le risque est d’envergure.


votre avatar

C’est surprenant, les différents navigateurs corrigent des failles de sécurité régulièrement, et personne n’en parle.

votre avatar

C’est inadmissible de la part d’adobe de corriger ces failles, comment la nsa va acceder à nos pc&nbsp; et nous protéger des terroristes maintenant, c’est de l’inconscience professionel.

J’espère que les DRM intégré à l’html5 seront plus permissif pour protéger les citoyens.

votre avatar







Haemy a écrit :



C’est inadmissible de la part d’adobe de corriger ces failles, comment la nsa va acceder à nos pc  et nous protéger des terroristes maintenant, c’est de l’inconscience professionel.

J’espère que les DRM intégré à l’html5 seront plus permissif pour protéger les citoyens.





Qu’est ce que ça devient lourd, la petite blague sur la NSA qui revient une bonne dizaine de fois à chaque news.


votre avatar







seblutfr a écrit :



Qu’est ce que ça devient lourd, la petite blague sur la NSA qui revient une bonne dizaine de fois à chaque news.





L’avenir n’est pas une blague mon cher, qui va se préoccuper de notre sécurité si la css ( <img data-src=" /> )ne le fait pas&nbsp; ?!


votre avatar







Haemy a écrit :



L’avenir n’est pas une blague mon cher, qui va se préoccuper de notre sécurité si la css ( <img data-src=" /> )ne le fait pas  ?!





C’est sûr que sortir la même blague ici à chaque série de commentaire va faire évoluer la situation.


votre avatar

Ce ne sont plus les failles qu’il faut colmater, mais plutôt Flash. <img data-src=" />

votre avatar
votre avatar

Je confirme pour les freezes… Depuis que je suis passé à la v19, je les ai aussi. Bien agaçant quand ils n’existent que sur FF!

Pour le nommage, c’est un raté dans l’article : c’est la 19.0.0.207 qui précédait la 266.



Edith : ajustements.

votre avatar

Plusieurs pistes :




  • en effet, c’est un plug-in très largement utilisé, et donc la cible des hackers. Cela permet de développer des failles qui ne sont pas dépendantes d’un navigateur ou d’un OS particulier (valable pour les OS Windows, pour les autres le comportement peut changer).

  • l’exécution du code se fait outre les protection des navigateurs, et équivaut à faire tourner son animation Flash en local sur le PC !

  • le code est entièrement fermé, empêchant tout audit complet et total.

  • une seule société développe, et cette dernière n’a pas toujours eu conscience des failles de sécurités

  • énorme communauté de développeurs, qui utilise parfois abondement ce plug-in pour tout et rien



    Bref, c’est une cible parfaite pour les hackers.

votre avatar







Alpach a écrit :



a méditer





ouais mais Flash, c’est tous les 3 jours. Les autres ont la gentillesse d’attendre un peu entre deux annonces <img data-src=" />



Quand je pense que j’étais presque arrivé à avoir tous les postes à jour <img data-src=" />

Défaire et refaire c’est toujours travailler… <img data-src=" />


votre avatar







linkin623 a écrit :



Plusieurs pistes :




  • en effet, c’est un plug-in très largement utilisé, et donc la cible des hackers. Cela permet de développer des failles qui ne sont pas dépendantes d’un navigateur ou d’un OS particulier (valable pour les OS Windows, pour les autres le comportement peut changer).

  • l’exécution du code se fait outre les protection des navigateurs, et équivaut à faire tourner son animation Flash en local sur le PC !

  • le code est entièrement fermé, empêchant tout audit complet et total.

  • une seule société développe, et cette dernière n’a pas toujours eu conscience des failles de sécurités

  • énorme communauté de développeurs, qui utilise parfois abondement ce plug-in pour tout et rien



    Bref, c’est une cible parfaite pour les hackers.





    c’est surtout que Flash est un empilement de techno devenu incohérent à la longue permettant à des non-dev (les graphistes) de faire des trucs autrefois réservés à ceux qui pouvait rentrer dans le code, et ce, sans jamais rien remettre à plat.

    C’est pété by design, Flash :$



    HS : d’ailleurs la série Flash a repris et là au moins ça se tient un peu plus <img data-src=" />


votre avatar

Meilleure solution : désinstaller Flash (et Java tant qu’à faire).

votre avatar

Comme le fait remarquer Alpach, c’est juste que Flash est plus connu.

Il y a peu d’actualités&nbsp; sur les vulnérabilités des bibliothèques Linux,

pourtant utilisées sur la majorités des serveurs web de la planète et des smartphones Android.

&nbsp;







Alpach a écrit :



a méditer



votre avatar

<img data-src=" />

votre avatar

Adobe, c’est un peu comme sur NXi.

Avec NXi, le dimanche on à les LIDD.

Avec Adobe, le lundi, on a les failles.

<img data-src=" />

votre avatar







Gilbert_Gosseyn a écrit :



Meilleure solution : désinstaller Flash (et Java tant qu’à faire).





Pour Java, j’avoue que ça fait longtemps que j’ai pas croisé de site l’utilisant. Même mes sites “pro”, qui auparavant l’utilisait, sont passés par d’autres solutions (CSS, Flash pour les graph’, HTML5).



C’est pas mal quand même. Me concernant j’ai Flash de bloqué par défaut sur FF, et je l’autorise au cas par cas. Pas idéal, mais suffisant pour éviter de choper des saloperies.


votre avatar

+1



<img data-src=" />

Adobe colmate encore trois failles dans Flash, dont une exploitée depuis des mois

Fermer