Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Adobe corrige 23 failles dans Flash, dont 18 critiques

Sans foi sur le métier, remettez votre ouvrage

Adobe corrige 23 failles dans Flash, dont 18 critiques

Le 23 septembre 2015 à 10h00

L’actualité autour de Flash se fait moindre avec le temps, mais Adobe continue de corriger les failles de sécurité découvertes. Dans un bulletin publié lundi soir, la firme colmate ainsi quelque 23 brèches, dont plusieurs sont décrites comme critiques. Évidemment, la mise à jour générale est chaudement recommandée.

Adobe colmate donc 23 failles de sécurité, dont une partie est critique. Cette seule raison doit sonner le tocsin auprès des utilisateurs, clairement invités à mettre à jour aussi rapidement que possible, quand bien même la présence des contenus Flash diminue avec le temps. Toutes les versions 18 et antérieures de Flash et Air pour Windows, OS X, Chrome OS, Android ou encore les moutures intégrées dans Chrome, Internet Explorer et Edge sont vulnérables.

Les solutions sont en fait déjà toutes disponibles. Chrome a par exemple été mis à jour, et le correctif adapté est déjà proposé par Windows Update dans les versions du système concernées (à partir de Windows 8). Adobe propose évidemment des téléchargements de son côté pour ceux qui utilisent un navigateur sans plugin intégré, notamment Firefox ou une version plus ancienne d’Internet Explorer. Notez cependant que les actuels testeurs de Windows 10 (programme Insider) n’ont pas la mise à jour à disposition. Si on vérifie la version installée de Flash dans Edge, c’est bien la mouture 18.0.0.232, vulnérable, qui est présente.

La dangerosité des failles est en tout cas certaine. Sur les 23 failles dont il est question, 18 sont clairement critiques et permettent une exploitation à distance. Elles couvrent plusieurs types de problèmes, dont le dépassement de mémoire tampon, la corruption de mémoire, le dépassement de pile ou encore la corruption de cette dernière.

Dans un contexte où la technologie elle-même devient moins utilisée, notamment pour la vidéo avec la diffusion des balises HTML5, certains aimeraient pouvoir sans doute se débarrasser complètement du lecteur. Google et Microsoft ont joué la carte de la sécurité en prenant les devants et en intégrant le plugin à leurs conditions, dans un espace mémoire isolé. La contrepartie est qu’il n’est pas possible de le supprimer. Une situation qui évoluera sans doute à l’avenir.

Adobe Flash faille Edge

Commentaires (67)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Java, j’ai encore besoin du JDK pour mon IDE :-/ (phpstorm)

 mais à part ça, il aurait dégagé depuis longtemps aussi.

votre avatar

Va dire ça aux chaînes de TV particulièrement M6 ou l’interface même est 100% en flash…



Et me concernant mis à part les grand sites (YT, daily…) je rencontre toujours régulièrement de flash… Du genre sur les sites des journaux.



Tiens l’autre fois, ma mère se plaignait qu’elle ne pouvait pas lire les replay de TF1 sur son smartphone. Alors oui y’a l’appli, mais l’ayant testé, c’est une m sans nom, elle est bourrée de pub et les vidéos ou le direct ne marchent pas, par contre la pub avant elle fonctionne comme par hasard… <img data-src=" />

votre avatar

Pourquoi utiliser une extension alors que tous les navigateurs proposent une interface pour activer ou désactiver des plugins ?

votre avatar

Flash c’est de la daube! <img data-src=" />

votre avatar







van25fr a écrit :



Je fais les deux :

 Mon PC sous Linux ne possède pas Flash

 Mon PC sous Windows possède flash mais il est désactivé et je le réactive au besoin.

A noter qu’aucun de mes PC possède chrome (ou tout autre truc qui contiendrait Flash)



Vivement que Flash disparaisse définitivement



Et moi j’ai flash. Mais après tout, il ne se lance que là où il est utile…

(vu que je bloque les pubs)



Qu’il disparaisse m’est égal. Mais il est encore trop utile à plein de sites, et convertir ces contenus serait trop compliqué.

Ça finira comme android: plus de mise à jour, mais il continuera de circuler (avec ses failles non corrigées) pour ceux qui en ont besoin - voire se chopperont des virus en le récupérant ailleurs que chez adobe.


votre avatar

Flash (et Java par la même occase) n’offrent plus trop d’intérêt pour les webmasters avec la montée en puissance de l’html 5. Ce format proprio va donc disparaître à plus ou moins long terme mais pour accélerer la chose, il faudrait que les plus gros sites sautent le pas, hisoire de donner l’exemple et montrer qu’on peut faire un site moderne, attrayant, &nbsp;sans flash, active x , java ou autre plugin à failles

votre avatar







bad10 a écrit :



Java, j’ai encore besoin du JDK pour mon IDE :-/ (phpstorm)

&nbsp;mais à part ça, il aurait dégagé depuis longtemps aussi.





Effectivement :)

&nbsp;Cette généralisation quand même <img data-src=" /> dans les commentaires.

&nbsp;C’est quoi le problème de sécurité avec le runtime Java? Et Flash hors navigateur (utilisation marginale je vous l’accorde)?&nbsp; &nbsp;

&nbsp;



&nbsp;Je refais mon radoteur mais le problème de sécu avec Java et Flash, c’est dans le navigateur , à cause des PLUGINS.&nbsp; Flash&nbsp; (enfin, AS3)à part un garbage collecteur mystérieux et fort foireux, ce n’est pas un langage plus nul qu’un autre. <img data-src=" />

&nbsp;

&nbsp;Bon, je ne dit pas pas contre que l’on as pas vu des failles aussi dans les lecteurs flash standalones mais là c’est comme tout logiciel quoi.<img data-src=" />



&nbsp;

&nbsp;J’ai vu certains sites qui gardent Flash pour la lecture de vidéos (tousse Canal tousse) et je parierais que la raison c’est pour forcer les gens à voir les pubs. En effet le flash du site , si il n’a pas réussi à charger les publicités, ne montre pas les vidéos. Tu peut bloquer videoplaza, utiliser ce que tu veut, rien à faire, c’est leur foutu player en flash qui bloque.

&nbsp;

&nbsp;A part “craquer le SWF” (mais où va t’on) ou rediriger les requetes de pub vers un serveur à nous …

&nbsp;Tant pis,&nbsp; je voulais regarder les guignols mais comme cette emission est morte de toute facon, adieux Banal +

&nbsp;

&nbsp;


votre avatar







silverfrog a écrit :



Flash (et Java par la même occase) n’offrent plus trop d’intérêt pour les webmasters avec la montée en puissance de l’html 5. Ce format proprio va donc disparaître à plus ou moins long terme mais pour accélerer la chose, il faudrait que les plus gros sites sautent le pas, hisoire de donner l’exemple et montrer qu’on peut faire un site moderne, attrayant, &nbsp;sans flash, active x , java ou autre plugin à failles





Je ne doute pas que les futures implémentations de WebAssembly auront leur lot de failles <img data-src=" />


votre avatar

Oui, mais tu peux activer à la volée ? Il me semble que oui, mais juste pour être sûr.

votre avatar

Oui mais étant donné que Nolife ne passera pas la fin de l’année…<img data-src=" />

votre avatar







RaoulC a écrit :



Tant pis,  je voulais regarder les guignols mais comme cette emission est morte de toute facon, adieux Banal +





Allez RaoulC, encore un effort. Il ne reste plus qu’à désinstaller flash de l’ordinateur <img data-src=" />


votre avatar

Le client “léger” de Vmware Center qui est intégralement en Flash … Résultat, j’ai réinstallé le client lourd pourtant moins pratique et à terme plus maintenu … Il parait qu’ils réfléchissent à une version HTML5 …

votre avatar







Danytime a écrit :



Allez RaoulC, encore un effort. Il ne reste plus qu’à désinstaller flash de l’ordinateur <img data-src=" />





Hélas. J’ai encore besoin de Flash pour le streaming et certains trucs bien précis.

Mais pas de soucis, tout mes plugins sont Click on play, YT est en html5 et meme en cas de faille j’ai un HIPS parano <img data-src=" /> et une palanquée d’extensions de sécurité <img data-src=" />


votre avatar







RaoulC a écrit :



Hélas. J’ai encore besoin de Flash pour le streaming et certains trucs bien précis.

Mais pas de soucis, tout mes plugins sont Click on play, YT est en html5 et meme en cas de faille j’ai un HIPS parano <img data-src=" /> et une palanquée d’extensions de sécurité <img data-src=" />



Du streaming… le streaming ?? C’EST SUREMENT TWITCH !!

<img data-src=" /> Pour cela il faut utiliser Livestreamer Twitch GUI, lien du téléchargement en bas. Et voilà, déjà un flash en moins dans le navigateur ^^


votre avatar







Danytime a écrit :



Du streaming… le streaming ?? C’EST SUREMENT TWITCH !!

<img data-src=" /> Pour cela il faut utiliser Livestreamer Twitch GUI, lien du téléchargement en bas. Et voilà, déjà un flash en moins dans le navigateur ^^





Perdu ! Je parle du streaming tipiak <img data-src=" />

&nbsp;

Livestreamer, je l’utilise depuis des plombes, plus pour Dailymotion que Twitch d’ailleurs. J’ai meme codé une appli qui me dit quand les streams sont online, grâce aux apis de Daily et Twitch et d’un clic je lance livestreamer <img data-src=" />

&nbsp;

Tu ne m’auras pas <img data-src=" />


votre avatar







RaoulC a écrit :



Perdu ! Je parle du streaming tipiak <img data-src=" />



Zut, je vais pas insister dans ce cas ^^


votre avatar

“Sans foi sur le métier, remettez votre ouvrage”



Excellent.

votre avatar

Ils n’ont tjs pas compris …que c’est flash qui est une faille critique à lui tout seul ? <img data-src=" />

votre avatar







John Shaft a écrit :



C’est un peu l’OpenSSL des logiciels proprio <img data-src=" />





Nan mais Flash, c’est hors concours à ce niveau là. <img data-src=" />


votre avatar

Je l’ai désactivé dans Edge, comme ça il ne m’emmerde pas <img data-src=" />



Et vu qu’en Insider, la faille est présente, c’est aussi bien !

votre avatar

T’es sûr ? <img data-src=" />

votre avatar

Tu peux le bloquer par défaut dans Firefox, et sans add-on.



Dès qu’un site demande à l’utiliser, tu as un ptit message pour voir si tu veux l’activer en permanence sur ce site ou bien une fois.



Un add-on de moins me concernant (mais si très utile et pendant longtemps <img data-src=" />)

votre avatar

v 19 déjà !



pff c’est vrai que c’est lourdingue tout ça

votre avatar







Zyami a écrit :



Idem, il est bloqué avec l’extension Flashblock sur Firefox, si j’ai vraiment besoin, j’ai juste a appuyer sur la flèche.





pas besoin de flash block, firefox gère ca nativement maintenant


votre avatar

en fait la faille de sécurité c’est d’installer flash si je comprend bien ?

votre avatar







pyro-700 a écrit :



en fait la faille de sécurité c’est d’installer flash si je comprend bien ?





et aussi (voire surtout) l’utilisateur. C’est la plus grosse faille à ce jour. <img data-src=" />

&nbsp;


votre avatar

Moi, il est toujours installé pour certains sites <img data-src=" /> mais désactivé par défaut par FF.

votre avatar

Java <img data-src=" />

votre avatar

pourtant un simple patch permettrait de regler toute les failles :

&nbsp;rm -Rf flash :p

&nbsp;

&nbsp;—&gt; deja sortis ;)

votre avatar







ActionFighter a écrit :



Moi, il est toujours installé pour certains sites <img data-src=" /> mais désactivé par défaut par FF.





Ton proctologue a un site web en flash?


votre avatar







Krogoth a écrit :



Ton proctologue a un site web en flash?





<img data-src=" />



J’en ai besoin pour prendre rendez-vous pour mes lavements <img data-src=" />


votre avatar







gaetan.cambier a écrit :



pourtant un simple patch permettrait de regler toute les failles :

&nbsp;rm -Rf flash :p

&nbsp;

&nbsp;—&gt; deja sortis ;)





<img data-src=" />


votre avatar

mouais, la MAJ a foiré toute la soirée hier sur mon W10, et je me demande si c’est pas la raison de mon premier et unique écran bleu de W10, en pleine lecture d’une vidéo sous MPC-hc, sans aucun signe annonciateur.

votre avatar

moi c’est simple,

&nbsp;j’ai firefox et je n’installe plus du tout flash .. si un site réclame le plugin, je vais voir ailleurs :o

votre avatar

C’est un peu radical.

Chez moi il est installé mais désactivé. Je l’active si vraiment c’est nécessaire.

votre avatar

Idem, il est bloqué avec l’extension Flashblock sur Firefox, si j’ai vraiment besoin, j’ai juste a appuyer sur la flèche.

votre avatar

J’ia supprimé complètement Flash sur mes postes il y a quelques temps, et il est rare que je croise quelque chose où flash soit imposé.



Les éditeurs le rendent de plus en plus souvent facultatifs. Il n’est plus vraiment gênant de se passer complètement de Flash à l’heure actuelle.

votre avatar

Il y a plus de failles de sécurité que de fonctionnalités dans Flash. <img data-src=" />

votre avatar







Ricard a écrit :



Il y a plus de failles de sécurité que de fonctionnalités dans Flash. <img data-src=" />







<img data-src=" /> <img data-src=" /> (‘ya pas plus comme note)


votre avatar

pareil pour moi, flash totalement desactivé. et en fait on vit ça tres bien&nbsp;<img data-src=" />

votre avatar

il est pas installé chez moi, ou alors c’est via le navigateur je crois… vu à quoi ça sert, j’en ai pas/plus besoin

vivement qu’il crève ce truc :/

votre avatar

C’est un peu l’OpenSSL des logiciels proprio <img data-src=" />

votre avatar

Yes you can <img data-src=" />

votre avatar







RaoulC a écrit :



J’ai vu certains sites qui gardent Flash pour la lecture de vidéos (tousse Canal tousse)



Attention en toussant tu as mis un C en trop… <img data-src=" />


votre avatar

Comment ça ?

votre avatar

Bah il y a une news à ce sujet sur UniversFreebox.

votre avatar

On a qu’une vie et perso je suis abonné à un site de rencontre qui utilise massivement le format Flash pour les vidéos (webcam etc)… ya pas de contournement en HTML5 vu les possibilités et le nombre de flux vidéo du site

votre avatar

Au moins l’avantage d’Abobe et ses failles, c’est qu’il permet d’entrainer les utilisateurs à le mettre à jour.. Ou pas.&nbsp;<img data-src=" />

votre avatar







wrongillusion a écrit :



On a qu’une vie et perso je suis abonné à un site de rencontre qui utilise massivement le format Flash pour les vidéos (webcam etc)… ya pas de contournement en HTML5 vu les possibilités et le nombre de flux vidéo du site





Héhé, je connais ce pseudo sur LGF ;)


votre avatar

Tout dépend des habitudes de surf de chacun, c’est certain.



Dans mon cas, sur le dernier mois, je n’ai rien croisé de bloquant.

votre avatar

&nbsp;







MuadJC a écrit :



Attention en toussant tu as mis un C en trop… <img data-src=" />





Rigole, mais les sites pornos seront surement les plus rapides à se mettre au HTML5 dès lors que Flash sera mort <img data-src=" />

En attendant, ca donnerais presque envie d’aller se palucher ailleurs, ce maudit Flash.

&nbsp;

A défault d’attraper une maladie par la branlette, tu infecte ton PC à cause de Flash <img data-src=" />


votre avatar

C’est sur que si pour vous Flash se limite à la pub et aux vidéos , vous pouvez vous en passer…

&nbsp;

votre avatar

Avec une extension ou directement ?



En tout cas, je demande à voir la gueule du code source pour qu’il y ait toujours autant de failles <img data-src=" />



J’imagine le truc tellement dégueulasse qu’aucun employé n’ose s’y aventurer <img data-src=" />

votre avatar

C’est l’héritage de shockwave qui avait aussi été fait avec les pieds.

&nbsp;

Comme la base est pourrie, …

votre avatar







ActionFighter a écrit :



Moi, il est toujours installé pour certains sites <img data-src=" /> mais désactivé par défaut par FF.





c’est vrai qu’encore beaucoup de sites de cul nécessitent flash&nbsp;<img data-src=" />


votre avatar







John Shaft a écrit :



T’es sûr ? <img data-src=" />





<img data-src=" />


votre avatar







ActionFighter a écrit :



<img data-src=" />



J’en ai besoin pour prendre rendez-vous pour mes lavements <img data-src=" />





Je comprends mieux… <img data-src=" />



Sinon oui, FF bloque flash tout seul (sur la version Linux du moins, sur la version windows je ne sais pas), mais en fait on se passe très bien de flash.

Même pour les boulards d’ailleurs : le torrent est ton ami.


votre avatar







Drepanocytose a écrit :



Je comprends mieux… <img data-src=" />





<img data-src=" />







Drepanocytose a écrit :



Sinon oui, FF bloque flash tout seul (sur la version Linux du moins, sur la version windows je ne sais pas), mais en fait on se passe très bien de flash.

Même pour les boulards d’ailleurs : le torrent est ton ami.





Ouais mais le net, c’est quand même plus pratique pour l’envie du moment : grannies, golden shower, etc…



Sinon, c’est clair que les sites en flash ne sont plus légion comme autrefois.


votre avatar







ActionFighter a écrit :



Ouais mais le net, c’est quand même plus pratique pour l’envie du moment : grannies, golden shower, etc…





&nbsp;

Envie de pommes?. Pénible ces apple fanboy.


votre avatar







Isokras a écrit :



Il serait temps de retirer la faille principale (Flash).



Il serait temps de retirer la faille principale: ton accès internet.


votre avatar

Pendant ce temps là, chez Lenovo<img data-src=" />

votre avatar

“Google et Microsoft ont joué la carte de la sécurité en prenant les devants et en intégrant le plugin à leurs conditions, dans un espace mémoire isolé. La contrepartie est qu’il n’est pas possible de le supprimer. Une situation qui évoluera sans doute à l’avenir.”



Comment ça ? Vous parlez bien pour Windows 8, 8.1 et 10 ? Pas de Windows 7 j’imagine, ou alors j’ai largement raté une information <img data-src=" />



Cela dit, je ne savais pas qu’il était exécuté dans un espace mémoire isolé, ce qui est déjà intéressant à savoir…

votre avatar

Non mais plus grave, noco.tv le site replay de nolife utilise encore flash… <img data-src=" />

votre avatar

Pareil. Et je fais la même chose pour Java.

votre avatar

Ton scepticisme est de rigueur, puisqu’on parle d’Adobe de Flash… Mais bon, quel lien existe-t-il entre MP-HC et Flash ? Absolument aucun selon moi.. A part peut-être si tu lisait une vidéo en .FLV, ce qui est possible avec MP-HC, mais tellement improbable de nos jours…

Encore que dans ce cas-là, je crois que MP-HC utilise un décodeur interne sans aucun lien avec le Flash qui serait installé ou non sur la machine.

votre avatar

Je disais juste que le crash de la machine est arrivé quand je regardais une vidéo, sans rien faire d’autre. Hors j’ai vu après que windows rapportait des échecs sur la MAJ, qu’il tentait de faire en background, mais sans dire l’heure exacte. 



 &nbsp;Donc je n'ai aucune idée de ce qui a causé le crash, soit c'est la MAJ foirée à ce moment précis, soit le player vidéo/driver graphique, mais c'est étrange et j'ai repris la vidéo sans avoir de problème après .. Par contre impossible de faire passer la MAJ, même avec tous les navigateurs fermés.    


 &nbsp;
votre avatar







bad10 a écrit :



moi c’est simple,

&nbsp;j’ai firefox et je n’installe plus du tout flash .. si un site réclame le plugin, je vais voir ailleurs :o









piwi82 a écrit :



C’est un peu radical.

Chez moi il est installé mais désactivé. Je l’active si vraiment c’est nécessaire.







Je fais les deux :

&nbsp;Mon PC sous Linux ne possède pas Flash

&nbsp;Mon PC sous Windows possède flash mais il est désactivé et je le réactive au besoin.

A noter qu’aucun de mes PC possède chrome (ou tout autre truc qui contiendrait Flash)

&nbsp;



Vivement que Flash disparaisse définitivement


Adobe corrige 23 failles dans Flash, dont 18 critiques

Fermer