Next - Adobe colmate encore trois failles dans Flash, dont une exploitée depuis des mois

Après une première salve de correctifs en fin de semaine dernière, Adobe revient à la charge avec une nouvelle mise à jour de sécurité pour Flash. Elle comble enfin la brèche détectée la semaine dernière, mais utilisée depuis des mois, ainsi que deux autres au passage.

Les semaines se suivent et se ressemblent pour Adobe. Après une mise à jour bouchant pas moins de 69 failles dans Acrobat, Flash et Reader, Adobe vient de mettre encore une nouvelle mouture de son lecteur Flash en ligne. Trois failles de sécurité sont ainsi comblées.

La première concerne une brèche détectée par Trend Micro et qui était déjà exploitée depuis un bon moment par des pirates, notamment afin de récupérer des données de plusieurs ministères des Affaires étrangères. Si une série de correctifs avait été mise en ligne quelques heures plus tard, aucun ne corrigeait cette brèche. C'est désormais le cas avec Flash en version 19.0.0.226 (sur la majorité des plateformes, mais dans certains cas les numéros de versions ne sont pas les mêmes).

Mais ce n'est pas tout et Adobe en profite pour combler deux autres failles, dont on ne sait pas grand-chose si ce n'est qu'elles touchent les versions antérieures à la 19.0.0.266, et donc la 19.0.0.27 mise en ligne il y a quelques jours seulement. Les bulletins CVE-2015-7647 et 7648 ne donnent que peu d'indications. On y apprend qu'il s'agit de deux brèches différentes, même si les courts descriptifs sont exactement les mêmes : la possibilité d'exécuter du code arbitraire en s'appuyant sur une « confusion de type ».

Comme toujours, il est plus que recommandé de se mettre à jour si ce n'est pas déjà fait. Certains navigateurs l'intègrent directement, dans ce cas il faut également penser à vérifier la version en place. Pour cela, vous pouvez vous rendre sur cette page. Dans tous les cas, ses failles à répétitions ne font qu'alimenter le moulin de ceux qui réclament la fin du lecteur d'Adobe.

Commentaires (41)

ecatomb

Il y a 8 ans

Petite faute : “Abode en profite”
Pas trouvé comment la reporter sur la version mobile… Pas de bouton signaler qui apparait par magie comme sur la version classique du site.

Drozo

En parlant de faille et e flash, depuis quelque temps j’ai des bug d’affichage sous Firefox après la lecture d’une vidéo.

C’est lié ou pas ?

Soltek

Moi mon Firefox freeze carrément, tu clic partout ça fait rien, mais genre rien, même pas ça te dit que ça ne répond pas, il ne prend rien en CPU ou en RAM mais obligé de kill le process. Ça ne me le fait qu’avec des lecteurs embarqués DailyMotion.
Sur Twitch pas de problème.

Sinon la 19.0.0.266 qui remplace la 19.0.0.27 c’est que je ne suis pas réveillé ou bien même en nommage de version ils sont pas fufutes ?

John Shaft Abonné

" />

Et ça continue encore et encore
C’est que le début d’accord, d’accord

" />

266 > 27
C’est juste le nombre de petits bugs corrigé ;)

Terrion

pour régler ce soucis tu clic sur l’icone de la fenêtre comme pour la réduire dans la barre des tâches puis tu reclic et hop le player se relance, j’ai le même soucis et ça marche

odoc

J’aimerais quand même comprendre un truc : comment un tel logiciel, utiliser par probablement 80% des internautes (oui je sors le chiffre de mon chapeau) peut être aussi troué ?
Est-ce que c’est parce que justement tout le monde l’utilise que du coup pas mal de hacker s’y intéressent ou est-ce que les gens d”Adobe ne sont pas capable de coder qu’autrement qu’avec leur pied ?

Perso je trouve ça assez dingue autant de faille dans un tel logiciel.

Hipparchia Abonné

J’imagine que c’est pour plusieurs raisons, l’une d’elle est ce que permet de faire Flash, ou Java.

jicee

C’est surtout que la version précédente c’était la 19.0.0.207.

anonyme_751eb151a3e6ce065481d43bf0d18298

VilraleuR a écrit :

En parlant de faille et e flash, depuis quelque temps j’ai des bug d’affichage sous Firefox après la lecture d’une vidéo.

C’est lié ou pas ?

Pareil.

Les éléments de pages deviennent aléatoirement noirs, et ne reprennent leurs couleurs qu’en les survolant. Et en général, il faut fermer FF et le rouvrir pour retrouver un comportement normal.

Haemy

C’est inadmissible de la part d’adobe de corriger ces failles, comment la nsa va acceder à nos pc  et nous protéger des terroristes maintenant, c’est de l’inconscience professionel.
J’espère que les DRM intégré à l’html5 seront plus permissif pour protéger les citoyens.

anonyme_b3e05f43bed326da32611ec4ad59c217

Haemy a écrit :

C’est inadmissible de la part d’adobe de corriger ces failles, comment la nsa va acceder à nos pc et nous protéger des terroristes maintenant, c’est de l’inconscience professionel.
J’espère que les DRM intégré à l’html5 seront plus permissif pour protéger les citoyens.

Qu’est ce que ça devient lourd, la petite blague sur la NSA qui revient une bonne dizaine de fois à chaque news.

seblutfr a écrit :

Qu’est ce que ça devient lourd, la petite blague sur la NSA qui revient une bonne dizaine de fois à chaque news.

L’avenir n’est pas une blague mon cher, qui va se préoccuper de notre sécurité si la css ( " /> )ne le fait pas  ?!

Haemy a écrit :

L’avenir n’est pas une blague mon cher, qui va se préoccuper de notre sécurité si la css ( " /> )ne le fait pas ?!

C’est sûr que sortir la même blague ici à chaque série de commentaire va faire évoluer la situation.

piwi82

Ce ne sont plus les failles qu’il faut colmater, mais plutôt Flash. " />

Alpach

a méditer

OliveTom

Je confirme pour les freezes… Depuis que je suis passé à la v19, je les ai aussi. Bien agaçant quand ils n’existent que sur FF!
Pour le nommage, c’est un raté dans l’article : c’est la 19.0.0.207 qui précédait la 266.

Edith : ajustements.

linkin623 Abonné

Plusieurs pistes :

en effet, c’est un plug-in très largement utilisé, et donc la cible des hackers. Cela permet de développer des failles qui ne sont pas dépendantes d’un navigateur ou d’un OS particulier (valable pour les OS Windows, pour les autres le comportement peut changer).

l’exécution du code se fait outre les protection des navigateurs, et équivaut à faire tourner son animation Flash en local sur le PC !

le code est entièrement fermé, empêchant tout audit complet et total.

une seule société développe, et cette dernière n’a pas toujours eu conscience des failles de sécurités

énorme communauté de développeurs, qui utilise parfois abondement ce plug-in pour tout et rien

Bref, c’est une cible parfaite pour les hackers.

WereWindle

Alpach a écrit :

a méditer

ouais mais Flash, c’est tous les 3 jours. Les autres ont la gentillesse d’attendre un peu entre deux annonces " />

Quand je pense que j’étais presque arrivé à avoir tous les postes à jour " />
Défaire et refaire c’est toujours travailler… " />

linkin623 a écrit :

Plusieurs pistes :

en effet, c’est un plug-in très largement utilisé, et donc la cible des hackers. Cela permet de développer des failles qui ne sont pas dépendantes d’un navigateur ou d’un OS particulier (valable pour les OS Windows, pour les autres le comportement peut changer).

l’exécution du code se fait outre les protection des navigateurs, et équivaut à faire tourner son animation Flash en local sur le PC !

le code est entièrement fermé, empêchant tout audit complet et total.

une seule société développe, et cette dernière n’a pas toujours eu conscience des failles de sécurités

énorme communauté de développeurs, qui utilise parfois abondement ce plug-in pour tout et rien

Bref, c’est une cible parfaite pour les hackers.

c’est surtout que Flash est un empilement de techno devenu incohérent à la longue permettant à des non-dev (les graphistes) de faire des trucs autrefois réservés à ceux qui pouvait rentrer dans le code, et ce, sans jamais rien remettre à plat.
C’est pété by design, Flash :$

HS : d’ailleurs la série Flash a repris et là au moins ça se tient un peu plus " />

Gilbert_Gosseyn Abonné

Meilleure solution : désinstaller Flash (et Java tant qu’à faire).

psn00ps Abonné

Comme le fait remarquer Alpach, c’est juste que Flash est plus connu.
Il y a peu d’actualités  sur les vulnérabilités des bibliothèques Linux,
pourtant utilisées sur la majorités des serveurs web de la planète et des smartphones Android.
 

Alpach a écrit :

a méditer

Ricard

Adobe, c’est un peu comme sur NXi.
Avec NXi, le dimanche on à les LIDD.
Avec Adobe, le lundi, on a les failles.
" />

Gilbert_Gosseyn a écrit :

Meilleure solution : désinstaller Flash (et Java tant qu’à faire).

Pour Java, j’avoue que ça fait longtemps que j’ai pas croisé de site l’utilisant. Même mes sites “pro”, qui auparavant l’utilisait, sont passés par d’autres solutions (CSS, Flash pour les graph’, HTML5).

C’est pas mal quand même. Me concernant j’ai Flash de bloqué par défaut sur FF, et je l’autorise au cas par cas. Pas idéal, mais suffisant pour éviter de choper des saloperies.

anonyme_97254becd5c5b064755d6772703ed968

+1

" />

non je ne trouve pas, TU la trouves lourde. Pas moi (et d’autres)

ActionFighter a écrit :

Pareil.

Les éléments de pages deviennent aléatoirement noirs, et ne reprennent leurs couleurs qu’en les survolant. Et en général, il faut fermer FF et le rouvrir pour retrouver un comportement normal.

C’est tout a fait ça ! Encore un complot ;)
 

Et couler notre boîte ? " />
Des fois on a malheureusement pas le choix (d’utiliser Java dans notre cas et plus précisément à cause de nos clients).

Si vous vous reposez sur des solutions reposant sur des plugins NPNAPI, ça va pas le faire car ceux-ci seront dans un délai court systématiquement bloqués.

Je sais, faut le dire à nos clients (qui sont juste des collectivités, agglo, conseils généraux, gouvernement, etc " />).

Si coté serveur ça se repose sur autre chose que Java et Flash, pas de souci, les nouveaux navigateurs s’adaptent. Et au pire une petite invitation de passer à IE9+ ou FF30+ de rigueur …

CryoGen Abonné

psn00ps a écrit :

Comme le fait remarquer Alpach, c’est juste que Flash est plus connu.
Il y a peu d’actualités sur les vulnérabilités des bibliothèques Linux,
pourtant utilisées sur la majorités des serveurs web de la planète et des smartphones Android.

Il n’y a eu aucune news ou battage sur openssl ?
les failles android ? Ca à même forcer Samsung à communiquer…
Et puis bon pour bien troller il aurait fallu dire Flash et Java " />

ledufakademy a écrit :

non je ne trouve pas, TU la trouves lourde. Pas moi (et d’autres)

Moi aussi je trouve çà lourd. Ici cette news n’a rien à voir avec la NSA.
Sinon autant de nouveau laisser les troll windows vs linux à chaque news ?

Et puis le reprendre sur “TU trouves” et toi ajouter “et d’autres” … bravo " />

Java est requis pour pouvoir répondre aux appels d’offres. On ne peut passer outre pour signer les documents envoyés.
Sous Edge c’est niet, sous Chrome maintenant aussi, sur certaines plateformes ça passe sous IE11 et d’autres sous Firefox 41 (oui de notre côté on est à jour).

VilraleuR a écrit :

C’est tout a fait ça ! Encore un complot ;)

Ou exploit d’une 0-days " />

domFreedom

WereWindle a écrit :

ouais mais Flash, c’est tous les 3 jours. Les autres ont la gentillesse d’attendre un peu entre deux annonces " />

Quand je pense que j’étais presque arrivé à avoir tous les postes à jour " />
Défaire et refaire c’est toujours travailler… " />

Le truc pour les partisans du moindre effort ! " />
2 fichiers mms.cfg qui contiennent :
AutoUpdateDisable=0
SilentAutoUpdateEnable=1

Tu les colles dans C:\Windows\System32\Macromed\Flash et C:\Windows\Syswow64\Macromed\Flash

Une gpo qui démarre auto le service AdobeFlashPlayerUpdateSvc et ça roule ! " />
A chaque reboot, hop ! Tes postes sont à jour ! Personne n’a rien vu ! " />

Perso ça fait depuis Flash 16 que j’ai mis en place cette procédure, ma claque de me taper, tous les 3 jours, les bulletins de sécurités Adobe… " />

NB :
A savoir : L’auto update mms.cfg marche niquel à l’intérieur de la même version majeure.
Par contre, à chaque changement de version majeure, de 18 à 19 p.ex., faut lancer “manuellement” le setup.exe v19 " />
Après ça roule…! " />

mms.cfg suite : flash admin guide, chapitre 4 (page 28)
Tout est expliqué ! " />

CryoGen a écrit :

Il n’y a eu aucune news ou battage sur openssl ?
les failles android ? Ca à même forcer Samsung à communiquer…
Et puis bon pour bien troller il aurait fallu dire Flash et Java " />

C’est bien ce que je dis, vous n’avez vu que les plus célèbres.
Un serveur au hasard au bureau: 
 Ubuntu 14.04.3 LTS
45 packages can be updated.
13 updates are security updates.

domFreedom a écrit :

mms.cfg suite : flash admin guide, chapitre 4 (page 28)
Tout est expliqué ! " />

" />
je vais regarder ça. " />

psn00ps a écrit :

C’est bien ce que je dis, vous n’avez vu que les plus célèbres.
Un serveur au hasard au bureau:
Ubuntu 14.04.3 LTS
45 packages can be updated.
13 updates are security updates.

C’est la même chose pour windows… en fait c’est la même chose pour touts les logiciels. Là tu cites ubuntu mais ces packages ne sont surement pas tous “ubuntu” non ?

Et là on parle de faille exploitée (donc majeure). La plus part du temps on entend pas parler des mises à jours sauf si la faille est déjà exploité ou si le risque est d’envergure.

pol9520

C’est surprenant, les différents navigateurs corrigent des failles de sécurité régulièrement, et personne n’en parle.

Adobe colmate encore trois failles dans Flash, dont une exploitée depuis des mois

Chaque semaine son correctif

Tiens, en parlant de ça :

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

0/1

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Schrems vs Meta, saison 3

Sommaire de l'article

Introduction

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

La Commission européenne et Google proposent deux bases de données de fact-checks

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Usages et frugalité : quelle place pour les IA dans la société de demain ?

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Semi-conducteurs : un important accord entre l’Europe et l’Inde

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

651e édition des LIDD : Liens Intelligents Du Dimanche

#Flock, le grand remplacement par les intelligences artificielles

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Encapsulation de clés et chiffrement d’enveloppes

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Silicium : un matériau indispensable et omniprésent, mais critique

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Un think tank propose d’autoriser les opérations de « hack back »

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

OpenAI : récit d’une semaine de folie

AI Act : la France, l’Allemagne et l’Italie ne veulent pas réguler les modèles « de fondation »

Western Digital : scission en 2024, des HDD 24 To CMR et 28 To SMR dès maintenant

#LeBrief : Firefox 120, SoC Dimensity 8300, amendes des géants du Net

Le OnePlus 12 sera présenté le 5 décembre

Des fichiers disparaissent mystérieusement de certains comptes Google Drive

À la Samaritaine, des caméras camouflées en détecteurs de fumée

Rachat d’iRobot : la Commission détaille ses craintes à Amazon

FreeBSD 14 disponible en version finale

Commentaires (41)