Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Flash : Adobe corrige une faille critique déjà exploitée

Des p'tits trous, des p'tits trous...

Flash : Adobe corrige une faille critique déjà exploitée

Le 25 juin 2015 à 08h02

Adobe a publié hier soir une nouvelle version de son lecteur Flash pour corriger une faille de sécurité critique. Bien que ces mises à jour surviennent régulièrement, la faille est connue cette fois pour avoir été exploitée depuis plusieurs semaines par un groupe de pirates chinois connus sous le nom d’APT3.

Mise à jour générale de Flash sur toutes les plateformes

Le bulletin d’Adobe indique bien que toutes les versions du lecteur Flash étaient concernées, à savoir la mouture 18.0.0.161 sur Windows et OS X et la 11.2.202.466 sur Linux, avec bien entendu toutes les versions antérieures. La mise à jour proposée permet de faire respectivement passer Flash aux moutures 18.0.0.194 et 11.2.202.468. Adobe y ajoute une 13.0.0.296 qui concerne la branche Extended Support Release (support étendu) et précise que les versions intégrées dans Chrome et Internet Explorer ont déjà été corrigées.

Ce n’est évidemment pas la première fois qu’Adobe corrige une faille dans son Flash, et le lecteur est d’ailleurs assez connu pour être une vraie passoire faisant trop souvent l’objet de mises à jour critiques (alors que le rythme a effectivement ralenti). Cependant, la brèche est liée cette fois à une exploitation par des pirates chinois, qui s’en servent depuis plusieurs semaines pour voler des informations.

C’est la société de sécurité FireEye qui en a expliqué les détails il y a deux jours. Le groupe chinois APT3 utilise cette faille depuis plusieurs semaines au sein d’une opération nommée Clandestine Wolf. L’objectif est le vol de données dans certaines entreprises particulières des domaines de l’aérospatiale, de la défense, de la construction, de la haute technologie, des télécommunications ou encore des transports.

Un groupe de pirates particulièrement efficace

Pour FireEye, APT3 est tout simplement « l’un des groupes de cybermenace les plus sophistiqués » traqués par l’entreprise. Selon l’éditeur, ces pirates sont particulièrement connus pour exploiter des failles 0-day liées aux navigateurs, voler de nombreuses informations et utiliser une infrastructure de commande (serveurs C&C) difficile à analyser. Dans le cas présent, APT3 cherche visiblement à exploiter la brèche dans Internet Explorer sur Windows 7 ou Firefox sur Windows XP. Des configurations qui n’ont rien de particulièrement rare en entreprise.

De fait, le grand public ne semble pas visé par l’opération, et beaucoup ont des configurations qui ne correspondent plus depuis longtemps au profil d’attaque. Cependant, et même si a priori aucun cas d’exploitation n’a été détecté sur OS X et Linux, la faille existe bel et bien sur l’ensemble des plateformes concernées et le niveau reste critique pour toutes.

Adobe recommande donc l’installation de la mise à jour sans tarder. Si vous n’utilisez que Chrome ou Internet Explorer et que le lecteur n’a pas été installé manuellement, il n’y aucune manipulation particulière à faire. Pour les autres, notamment ceux qui utilisent Firefox, il faudra faire attention à la notification proposée par le lecteur en bas à droite de l’écran. Attention également à ceux qui auraient désactivé le téléchargement automatique des mises à jour : il faudra faire une recherche manuelle.

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Twitch utilise malheureusement encore flash. <img data-src=" />

votre avatar

Vivement que ce truc crève.

votre avatar

se rappelle des trolls sur l’absence de Flash dans iOS naguère

votre avatar

Une pensée pour l’équipe de NXi qui doit tout les mois trouver un sous-titre pour illustrer un article parlant d’une faille de Java/Flash.

votre avatar







PixelMort a écrit :



et pour les  manchots qui en ont marre d’être sur la version 11 :

 

 pepperflashplugin + freshplayerplugin-master

 

(merci adobe de tant faciliter les choses…)







“freshplayerplugin-master” peut marcher sur un Firefox tournant sous windows?


votre avatar

Hum tu peux l’exporter le player avec openwith et un player quelconque genre mpv <img data-src=" /> 



Et j'ai moins de problème de lag.      


Après tu va me dire le chat etc. C'est de l'irc derrière.&nbsp; ( et tu ne vois pas la "censure" twitch du coup)


&nbsp;

&nbsp;Edit : ça fonctionne avec pas mal de site genre youtube, arte+7 etc

votre avatar

Flash le truc ou t’as l’impression qu’a chaque mise a jour ils rajoutent juste des failles en fait&nbsp;<img data-src=" />

&nbsp;

tiens je vais en profiter pour virer . on va voir si il me manque vraiment (vu que je suis toujours sur la vieille version opera en attendant que vivaldi fasse les mails <img data-src=" />)

votre avatar







Kixtea a écrit :



Flash est/était quand même bien utile pour les PC avec des config basses, le HTML5 (ou du moins les implémentations) sont assez mauvaises parfois. Je me souviens que Youtube en HTML5 sur Chrome me faisait pas mal freeze autrefois, maintenant c’est top.

Dans tous les cas, je ne comprends pas qu’un programme puisse avoir autant de failles, et qu’elles peuvent en arriver au vol d’informations, c’est trop dur de vérifier les tailles des buffers etc. ?





Cela coûte des sous! Et tant que l’on ne se fait pas “piquer” à avoir du code aux spécifications minimalistes, réalisé par un sous-aide apprenti assistant intérimaire stagiaire en stage de “sensibilisation au développement” en fin de 3ème… Au cours de quelques décennies de développement, il m’a semblé que le niveau du développeur lambda avait une fâcheuse tendance à pratiquer le mode de la régression, peut-être “poussé” par l’utilisation de langages de plus en plus tolérants et laxistes… Et surtout l’emploi sur des systèmes de “bricoleurs” tolérant les écrasements mémoire… Pour avoir bossé sur des système interdisant ce type de “bavure”, on se sentait un peu moins démuni vis a vis de ces pirateries grossières…

&nbsp;

C’était mieux, avant!


votre avatar







illidanPowa a écrit :



c’est un peu comme les taxis, ça veut pas mourir tout seul dans son coin sans faire de bruit&nbsp;<img data-src=" />





Vous avez vu la bouffonnerie quand on veut ouvrir le lien “citer” dans un autre onglet ?

&nbsp;On arrive là :nextinpact.com Next INpact

&nbsp;Je vous laisse découvrir…

&nbsp;



&nbsp;Sinon, pour les taxis, je te propose la même chose pour ton job. T’es pas d’accord, trou du cul ?


votre avatar

très drôle mais mon job a de l’avenir contrairement au taxi et ce qui est drôle c’est qu’il supprime des emplois mon job, mais quand tu en parles aux usagers, ils sont tous très content de ce que je fais…..

&nbsp;

&nbsp;Quand aux taxis,&nbsp;si au moins ils faisaient un effort mais à coté de ça ils s’enfoncent et ils ont une image de merde, pour moi ce job doit changer ou disparaître…..

&nbsp;

&nbsp;

&nbsp; Au passage merci pour l’insulte gratuite digne d’un chauffeur de taxi <img data-src=" />&nbsp;

&nbsp;

&nbsp;

votre avatar

Cool je cherchais justement une solution pour mon linux. Merci Monsieur ^^

votre avatar

Je suis juste passé pour applaudir le sous-titre !&nbsp;<img data-src=" />

votre avatar







Northernlights a écrit :



en même temps a part les pubs y’a plus grand chose en flash :)







Si, il y a Spotify, que j’utilise régulièrement pour comparer des versions d’une même œuvre classique avec des orchestres différents avant d’acheter, leur base de données est quand même bien fournie.

C’est l’une des seules raisons pour laquelle Flash est encore installé sur mon ordi.


votre avatar

c’est pas mort cette techno obsolète? c’est comme ie6, impossible a éradiquer?

votre avatar







PixelMort a écrit :



et pour les&nbsp; manchots qui en ont marre d’être sur la version 11 :

&nbsp;

&nbsp;pepperflashplugin + freshplayerplugin-master

&nbsp;

(merci adobe de tant faciliter les choses…)





Ou Google Chrome…<img data-src=" />

&nbsp;

&nbsp;

&nbsp;Je suis intéressé par freshplayerplugin…mais il n’y a pas l’accélération matériel pour le moment…un peu triste.

&nbsp;



&nbsp;Enfin le plus simple c’est simplement que flash meure…et ça arrivera.

&nbsp;



&nbsp;Il y a de moins en moins de sites qui le demandent.<img data-src=" />


votre avatar







illidanPowa a écrit :



c’est pas mort cette techno obsolète? c’est comme ie6, impossible a éradiquer?





Dans ma boite ils utilisent un super soft en SAAS dont un des pré requis est FlashPlayer (connais pas la raison exacte mais c’est comme çà).



&nbsp;Résultat, 2, 3 fois par mois je me package et déploie les mises à jour de cette m…. sur 200 postes. Pas très compliqué mais agaçant.


votre avatar

c’est un peu comme les taxis, ça veut pas mourir tout seul dans son coin sans faire de bruit&nbsp;<img data-src=" />

votre avatar

pour forcer sur FF vous pouvez passer par:



&nbsphttps://www.mozilla.org/fr/plugincheck/

votre avatar







Alucard63 a écrit :



Je suis intéressé par freshplayerplugin…mais il n’y a pas l’accélération matériel pour le moment…un peu triste.







Si si, c’est arrivé tout récemment : http://www.webupd8.org/2015/06/fresh-player-plugin-gets-hardware.html


votre avatar







mirandir a écrit :



Si si, c’est arrivé tout récemment : http://www.webupd8.org/2015/06/fresh-player-plugin-gets-hardware.html





Ah! Je vais peut être retenter le coup de passer sous FF alors…<img data-src=" />


votre avatar

Le truc pour faciliter les choses sous Linux s’appelle Google Chrome.

votre avatar

Flash est/était quand même bien utile pour les PC avec des config basses, le HTML5 (ou du moins les implémentations) sont assez mauvaises parfois. Je me souviens que Youtube en HTML5 sur Chrome me faisait pas mal freeze autrefois, maintenant c’est top.

Dans tous les cas, je ne comprends pas qu’un programme puisse avoir autant de failles, et qu’elles peuvent en arriver au vol d’informations, c’est trop dur de vérifier les tailles des buffers etc. ?

votre avatar

Google inside…

votre avatar







KaKi87 a écrit :



Le truc pour faciliter les choses sous Linux s’appelle Google Chrome.



mais si on préfère firefox, il y a&nbsp; pepperflashplugin avec freshplayerplugin-master et ça fonctionne très bien

&nbsp;



&nbsp;sinon on peut aussi se passer de flash qui est utilisé à 90% par des pubs et le reste se partage entre des sites tape à l’oeil et des vidéos de TGV.. . (et quelques sites illégaux, si si)

&nbsp;je n’aime ni chrome ni chromium, mais j’aime bien le train alors voilà :)


votre avatar

Pour la publicité il y a µBlock qui est compatible avec Chrome ET Firefox ;

Pour les vidéos sur YouTube il y a l’option HTML5 ;

Et pour certains sites illégaux je ne vois pas de quoi vous voulez parler… (Un gestionnaire de téléchargement et c’est ok non ?)

votre avatar

et pour les&nbsp; manchots qui en ont marre d’être sur la version 11 :

&nbsp;

&nbsp;pepperflashplugin + freshplayerplugin-master

&nbsp;

(merci adobe de tant faciliter les choses…)

votre avatar

Flash : se réfère à la rapidité à laquelle les failles apparaissent.

votre avatar

en même temps a part les pubs y’a plus grand chose en flash :)

votre avatar

les vidéos de TGV quand même…

Flash : Adobe corrige une faille critique déjà exploitée

  • Mise à jour générale de Flash sur toutes les plateformes

  • Un groupe de pirates particulièrement efficace

Fermer