Une nouvelle faille de sécurité « 0-day » dans Flash vient d'être dévoilée par TrendMicro, avant d'être reprise dans un bulletin de sécurité d'Adobe. La dernière mouture 16.0.0.296 est concernée, ainsi que les précédentes pour OS X et Windows. Les conséquences peuvent être fâcheuses puisqu'il est question de prise de contrôle de la machine à distance.
Depuis plusieurs jours maintenant, l'actualité autour de Flash Player d'Adobe est relativement chargée. Google a en effet annoncé qu'il passait à la balise vidéo HTML5 par défaut pour YouTube, tandis qu'une faille critique était dévoilée dans Flash en version 16.0.0.287 et antérieures. Le 24 janvier, une mise à jour estampillée 16.0.0.296 était publiée afin de combler la brèche en question. Problème, TrendMicro indique que cette dernière dispose également d'une faille de type « 0-day », c'est-à-dire qu'elle est d'ores et déjà exploitée.
Dans un bulletin d'alerte repris sur son site, Adobe confirme la présence d'une brèche, critique cette fois encore, qui pourrait provoquer un crash et ensuite permettre à un pirate de prendre le contrôle de la machine à distance. Windows 8.1 et toutes les versions précédentes sont concernés.
Trend Micro explique pour sa part que, selon les données qui sont en sa possession, « des visiteurs de Dailymotion sont redirigés vers une série de sites qui conduisent finalement à une URL piégée [NDLR : avec un fichier .swf] afin d'exploiter la faille ». La société spécialisée dans la sécurité ajoute qu'il « est important de préciser que l'infection se produit automatiquement puisque les publicités sont conçues afin d'être directement chargées lors d'une visite ». Elle ajoute en outre qu'il est « probable que l'infection ne soit pas limitée au site de Dailymotion puisqu'elle est transmise via la publicité et non pas par le site ».
Comme toujours en pareille situation, les recommandations sont simples : désactiver Flash en attendant qu'une mise à jour soit disponible. Adobe prévoit de la mettre en ligne cette semaine, sans plus de précision pour le moment. De notre côté, nous avons contacté Dailymotion afin d'avoir de plus amples informations et nous mettrons cette actualité à jour en fonction des retours.
Commentaires (64)
Elle ajoute en outre qu’il est « probable que l’infection ne soit
pas limitée au site de Dailymotion puisqu’elle est transmise via la
publicité et non pas par le site ».
Et après, on s’étonne que les gens utilisent les Adblock+ et autres Flashblock …
Pour ma part, j’ai pris une autre mesure : interdiction du chargement auto de ce plugin, je décide de quel site peut le charger ou pas. Mais je sens que je vais tout simplement le virer …
J’ai l’impression que Dailymotion est souvent impliqué dans des affaires de malvertising.
Encore une bonne raison d’interdire la publicité!
Du coup on a plus flash au boulot !
Si on pouvait voter pour des commentaires, j’aurai voté pour le tien. C’est pour quand le bouton “Donner un Cookie” ?
Ca fait 2 ans que j’ai supprimé Flash de mon ordi et tout fonctionne étonament bien :)
Sauf les vidéos Facebook, impossible de les lire directement dans le flux. Mais osef.
suppression pure et simple du plugin, à quoi ca sert honnêtement ? les vidéos flash ? faut avoir le temps, allez hop !
d’ailleurs quand il ne sera plus intégré par défaut dans les navigateurs, on aura fait un pas, tout comme les “autorités” de certification
Flash est encore utilisé en masse dans certains sites multimedia. Cela dit ca me donne de plus en plus envie de tester ce qu’il se passerait si je le désactivais, on sait jamais ils ont peut être un fallback HTML5 (oui je crois au père noël).
Les pubs en GIF animé c’était le bon vieux temps !
FlashBlock vaincra ! Impossible de naviguer sur internet sans ça sur mon vieux pc portable (qui a Adblockedge) ! Je vais l’installer sur mon fixe, et faire ma whitelist.
j’ai resinstaller mon OS il y a quelques mois et j’ai pas installer flash. je m’en sors tres bien! quasi tout youtube est en html 5 et meme une grande partie des sites de cul
" />
donc flash = niet, plus jamais.
Heu il n’y a que Google qui l’intègre par défaut dans le navigateur Chrome. Les autres navigateurs demandent une installation manuelle de Flash Player pour servir comme plugin.
Cool, encore une bonne raison de virer la pub : éviter de se faire contaminer à notre insu par des régies !
A partir de quelle version pour Mac OS X ?
C’est une faille flash, donc ça n’a pas de raison d’être lié à la version d’OSX …
il demande quelle version de Flash sur Mac OS X je crois (je comprends comme ca)
" />
Non, c’est aussi intégré dans IE et mis à jour via Windows Update.
Et quand il y a une faille sur un navigateur, n’oubliez pas de ne plus l’utiliser . Vivement les pubs embarquant un moteur 3d en javascript, le tout utilisé par des gens qui code a l’arrache pour satisfaire un commercial, cela nous rappellera la jeunesse de flash.
" />
Pour info:
We are aware of reports that this vulnerability is being actively exploited in the wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8.1 and below.
tout à fait, mais aujourd’hui il m’est impossible d’épurer FF définitivement des autorités, comment je fais ? je compile chaque build en les enlevant ? avec les nightlies j’ai pas fini de m’amuser…
c’est quand même un aspect majeur de la sécurité sur le navigateur et j’ai pas l’impression que ca choque des masses, pourtant le printemps arabe a re-soulevé le problème (mitm ssl…)
Comment tu comptes faire pour vérifier un certificat sans une autorité ?
Quel est le nouveau tiers de confiance ?
sabrage du tiers
" />
tu vérifies un par un épicétou
je fonctionne en liste blanche avec noscript, ca ne me gênerait pas plus que ca
à la rigueur tu acceptes quelques autorités que tu sais plus intègre que les autres, mais au moins se débarrasser de tout les canards boiteux
Flash ! Ahaaaaaa…. King of the universe !
" />
Non, j’déconne !
Comme d’ hab quoi, de toute façon j’ en ait plus rien à faire de Flash et ça me fais bien marrer puisque je l’ ai complètement radié de mon pc depuis que je me suis fait gentillement piraté mon compte Steam avec 100€ dessus suite à un exploit de ce type (merci Flash de m*..) heureusement j’ ai pu me faire rembourser intégralement auprès du support et récupérer mon compte intact (nope.avi :p) voilà le genre de conséquences que cette daube peut engendrer, Flash ça sert à rien maintenant avec le lecteur HTML5 qui marche très bien sous Firefox et ça devrait être purement et simplement interdit ce soft est une vraie passoire niveau sécuritée et ça fait des années que ça dure c’ est juste scandaleux, et me parlez pas de mises à jour puisque le problème est récurrent et donc inutile de les faires mes dernières majs avaient moins de 2 mois.
Mais comment tu vérifies ? Si tu trouves l’empreinte SHA ou la clé publique au même endroit que t’as trouvé le certif, ça te fait une belle jambe.
Moi ce qui m’énerve, c’est qu’en HTML5 sur youtube même pour les vidéos récentes, c’est qu’il n’y ai pas toutes les résolutions dispo…
De plus fait étrange, sur mon netbook (à base d’AMD C60) sous Xubuntu, les vidéos HTML5 ne passent pas. Même en petit ça rame complet. Alors qu’avec flash pas de soucis, par contre pas la peine de mettre en plein écran ça marche pas.
Enfin si, y’a un endroit où tout fonctionne : Windows. Mais vu que je m’en sers souvent le soir et que j’ai des problème avec la sortie casque qui ne fonctionne pas (ou alors très aléatoirement après plusieurs désinstallations et redémarrages mais que ne fonctionne plus au redémarrage suivant) ben je suis obligé de rester sous Linux…
C’est bien la première fois que je vois quelque chose mieux fonctionner sous linux que win…
Quand flash disparaîtra entièrement, ce sera un bienfait pour la sécurité de tous.
Déjà comme ça que les crypto-nerds ne vérifient pas très souvent les signatures de clés de leur correpsondants sur GPG, toi tu veux carrément laisser tomber les autorités et demander à tout le monde de vérifier des empreintes de clé pour TLS …
en gros tu voudrais qu’il n’y ait que des certifs auto-signés partout. Même si je suis loin de penser du bien de certains CA, ce système à évidemment ses gros défauts, je ne pense pas du tout qu’on ait à y gagner à passer à ton syst§me à toi qui deviendrait tellement invivable au quotidien qu’il reviendrait pour 95% des utilisateurs à accepter n’importe quel certificat en fin de compte. Donc autant garder une étape de contrôle intermédiaire, même si elle n’est pas parfaite.
ah oui, en effet ^^”
@Glyphe: ou ça je veux que tout le monde ? non, simplement qu’on ait le choix.
on parle de FF, un navigateur libre (me parlez pas du logo) et c’est bien le seul truc que j’ai jamais réussi à changer, un comble.
Avoir le choix de radier définitivement des tiers foireux, c’est ça que je demande en fin de compte.
Et non… sinon ça serait trop simple, ça reset a la fermeture.
C’est dingue comment dans la tête de beaucoup de gens : Adobe Flash = vidéos (et rien d’autre).
" />
flash ?s. job avait vu juste avant tout le monde !
" /> flash
je ne peux que rejoindre à nouveau ses dires :
ah… je me disais bien qu’il y a aurait une news comme cela, vu qu’hier j’ai des PC qui ont tous détectés des tentatives d’installation de trojan. Ca sentait le 0-Day par un vecteur omniprésent.
il est grand temps de se débarrasser de Flash… Bien pratique à l’époque c’est devenu un fourre tout plantogène, bouffeur de ressources et souvent un trou béant dans la sécurité
un site qui fait péter le son dès que t’arrives dessus, perso c’est rédibitoire
" />
Et le HTML5, JS et autres WebGL permettent des choses énormes, le Flash a fait son temps.
Pour ce qui est de ramer, j’ai un MBP de mi-2009 (Core2Duo) et lire une video sur YT et faire un autre truc qui peut pomper un peu a coté et hop ca saccade et le proc se charge a 30-50% pour une simple vidéo
Wouhou 4 démos techniques, retour en 2005. C’est incomparable avec la grande période des site flash de 2004⁄2008.
Et les outils pour faire du webgl, c’est looooin, loooooooin, très looooooooooin de ce que flash comme outil permet. Niveau souplesse, fonctions, éditeur visuel, incomparable… Parce c’est coder comme en 2003 avec java.
Sans parler du fait qu’aucun browser ne fait tourner pareil webgl et que ça passe nulle part ailleurs que sur desktop.
Le web d’aujourd’hui c’est : les ayatolah du html only ont gagnés, maintenant on a un beau web de developpeur, triste, uniforme, statique, et même pas très performant (laissez moi rigolez avec les perfs de jquery vs flash tiens).
Adobe vient de mettre à jour Flash, 16.0.0.305 ici pour le téléchargement.