Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Flash : une mise à jour critique, parfois installée automatiquement

Rapide comme l'éclair

Flash : une mise à jour critique, parfois installée automatiquement

Le 09 juillet 2014 à 08h40

Flash vient de mettre en ligne une nouvelle version de son lecteur multimédia. Estampillée 14.0.0.145, elle corrige des failles jugées critiques, permettant notamment d'exécuter du code à distance afin de récupérer des informations personnelles. Il est donc important de rapidement se mettre à jour et Chrome le fait d'ailleurs automatiquement en tâche de fond.

Rosetta Flash
Crédits : Michele Spagnuolo

Flash devient trop bavard face à un fichier SWF spécialement conçu

Dans le petit monde de la sécurité informatique, le « traumatisme » Heartbleed est toujours présent. Si ce n'est évidemment pas la seule faille de sécurité, elle était exceptionnelle à plus d'un titre : facilité de mise en œuvre, nombre de machines touchées et le temps avant qu'elle ne soit découverte. Aujourd'hui, c'est au tour de Flash de faire face à une importante faille de sécurité, bien évidemment corrigée via la dernière mise à jour du lecteur d'Adobe.

 

Comme Heartbleed, c'est l'équipe de recherche en sécurité de Google qui est à l'origine de cette découverte. Michele Spagnuolo, ingénieur italien chez le géant du web, donne d'ailleurs de nombreux détails sur son blog. Pour faire simple, lorsqu'un lecteur Flash exécute un fichier SWF spécialement conçu pour exploiter la faille, un pirate peut récupérer des informations sensibles en exploitant les cookies présents sur la machine (voir cette présentation). 

Un correctif est disponible, les sites se mettent à jour

Informé du problème, Adobe a donc mis en ligne une nouvelle version 14.0.0.145 de Flash pour Windows et OS X, ainsi qu'une mouture 11.2.202.394 pour Linux. Il est donc plus que recommandé de l'installer. Notez que Google a d'ores et déjà mis à jour son navigateur Chrome, et ce, de manière silencieuse. Vous êtes également plusieurs à nous préciser que c'est aussi le cas pour Firefox 30. Dans les autres cas, il faudra le faire manuellement.

 

Mais, comme le précise Michele Spagnuolo, il est également important que les sites se mettent à jour afin d'empêcher la récupération d'informations via cette technique. Plusieurs domaines de Google étaient ainsi vulnérables (accounts.google.com, maps.google.com, YouTube, etc.) ainsi que d'autres sites comme eBay, Instagram, Twitter, Tumblr, etc. Étant à l'origine de la découverte, Google a bien évidemment corrigé ses sites afin d'éviter des fuites de données, tout comme Twitter et Tumblr.

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pour Firefox 30 sous MAC OS X, il faut cliquer sur les menus Outils / Modules complémentaires ou bien saisir “about:addons” comme URL.

On sélectionne l’onglet “Plugins”. On clique sur le lien en haut “Vérifier si les plugins sont à jour”, qui ouvre une page surhttps://www.mozilla.org/fr/plugincheck/

Et là, on voit ce que peut détecter Firefox : on voit qu’il ne gère correctement que :RealPlayer

Silverlight

Shockwave for DirectorAdobe

Shockwave Flash



Pour le reste, il ne sait pas où chercher la mise à jour : les boutons “Rechercher” lance des recherches sur google :

iPhotoPhotocasti

Google Earth Plug-in

Module d’applet Java

Adobe Acrobat NPAPI Plug-in

SharePoint Browser Plug-in



J’ai pas vu de mécanisme de mise à jour automatique dans Firefox.



Il faut aller dans les Préférences Systèmes” de MAC OS X, partie “Autre” et icône “Flash Player”, onglet “Avancé”, Puis “Mise à jour” et choisir le degré d’automatisme de la mise à jour (autoriser, avertir avant, jamais rechercher les maj).

A la fin de la mise jour de Flash, vous pouvez aussi choisir le degré d’automatisme.

votre avatar







ungars a écrit :



Flash, dans un navigateur internet, tourne sous forme de plug-in : c’est lui qui est à changer…







Oui donc je repose ma question :



S’il s’agit d’une faille du lecteur d’Adobe, pourquoi les navigateurs et les sites devraient se mettre à jour ?



<img data-src=" />



(voir le dernier paragraphe de l’actu)


votre avatar

Firefox 30 l’installe aussi automatiquement (je viens de vérifier)

votre avatar

Mais quelle passoire ce logiciel, pourquoi ne passe-t-on pas au “full” HTML5 ?

votre avatar

Sinon pour être sur d’être a jour il se récupère la:

https://www.adobe.com/fr/products/flashplayer/distribution3.html

votre avatar



Pour faire simple, lorsqu’un lecteur Flash exécute un fichier SWF spécialement conçu pour exploiter la faille, un pirate peut récupérer des informations sensibles en exploitant les cookies présents sur la machine (voir cette présentation).





J’aime bien la présentation de la faille faite dans un fichier swf <img data-src=" />



D’autant plus qu’on n’a pas de détail sur ce fameux fichier spécialement conçu pour l’exploitation.



Sinon, s’il s’agit d’une faille du lecteur d’Adobe, pourquoi les navigateurs et les sites devraient se mettre à jour ? La faille les touche aussi alors, donc ce n’est pas une faille de Flash ? Et concrêtement, il faut faire quoi pour que les sites soient à jour ? <img data-src=" />

votre avatar







pyro-700 a écrit :



Mais quelle passoire ce logiciel, pourquoi ne passe-t-on pas au “full” HTML5 ?







C’est vrai que l’html 5 a du mal à prendre, surtout si on prend en considération que les navigateurs le gèrent depuis un bon moment, et qu’un gros % du parc mondial y a donc accès.

Sauf que tu oublies qu’il y a encore beaucoup de gens qui on windows xp, avec ie6 ou FF 1.5 :( :( :(

<img data-src=" />


votre avatar

Je me passe déjà des cookies, vivement qu’on puisse se passer définitivement de ce gruyère de Flash.

votre avatar







benhuriet a écrit :



Firefox 30 l’installe aussi automatiquement (je viens de vérifier)





Comme quoi il n’y a pas que Chrome et, même si l’article ne précise pas l’exclusivité de la maj sur ce dernier, le fait de ne parler que de Chrome en exemple dans l’article peut être assimilé a du parti prit !



Remarques, dans cette phrase :



Notez que Google a d’ores et déjà mis à jour son navigateur Chrome, et ce, de manière silencieuse. Dans les autres cas, il faudra le faire manuellement.



est clairement sous entendu qu’il n’y a que Chrome qui fasse la maj automatiquement, hors c’est faux car comme tu le dis Firefox 30 le fait également, chose confirmé chez moi aussi.



@Sébastien Gavois,

Il sera peut être nécessaire de corriger l’article ?

Cordialement.


votre avatar







caoua a écrit :



Comme quoi il n’y a pas que Chrome et, même si l’article ne précise pas l’exclusivité de la maj sur ce dernier, le fait de ne parler que de Chrome en exemple dans l’article peut être assimilé a du parti prit !



Remarques, dans cette phrase :



est clairement sous entendu qu’il n’y a que Chrome qui fasse la maj automatiquement, hors c’est faux car comme tu le dis Firefox 30 le fait également, chose confirmé chez moi aussi.



@Sébastien Gavois,

Il sera peut être nécessaire de corriger l’article ?

Cordialement.







Si vous êtes deux à me confirmer que c’est le cas, ou je vais ajouter un mot. Contrairement à Google je n’ai pas vu de communication de la part de Mozilla sur ce point et n’ayant pas Flash d’installé sur Firefox, je ne pouvais pas tester la manipulation. Sur IE par contre, c’est pas automatique <img data-src=" />


votre avatar

Ouais, je confirme, c’est le cas pour Firefox aussi.



D’ailleurs, ils lancent l’UAC sous windows, et si tu dis non, il remettent la popup jusqu’a que tu accepte <img data-src=" />.

votre avatar







benhuriet a écrit :



Firefox 30 l’installe aussi automatiquement (je viens de vérifier)





Tu vois comment que c’est installe automatiquement? Dans options\update je ne vois pas de mise a jour depuis la version 30. Et je n’ai pas eu de message aujourd’hui ou hier?


votre avatar







mdc888 a écrit :



C’est vrai que l’html 5 a du mal à prendre, surtout si on prend en considération que les navigateurs le gèrent depuis un bon moment, et qu’un gros % du parc mondial y a donc accès.

Sauf que tu oublies qu’il y a encore beaucoup de gens qui on windows xp, avec ie6 ou FF 1.5 :( :( :(

<img data-src=" />





IE6 a 13 ans. Pas de bol pour eux, encore moins d’excuses. <img data-src=" /><img data-src=" />


votre avatar

Chromium, pas de FLASH, no stress..

votre avatar







frscot a écrit :



Tu vois comment que c’est installe automatiquement? Dans options\update je ne vois pas de mise a jour depuis la version 30. Et je n’ai pas eu de message aujourd’hui ou hier?









Ce n’est pas Firefox qui le met à jour, c’est l’outil Update de Flash player.



Chrome est un cas particulier car Flash est installé et intégré par Chrome et n’est pas accessible sur les autres navigateurs, c’est un plugin pepper


votre avatar

L’idéal c’est d’utiliser un navigateur moderne comme IE 11 sous Windows 8.1

Flash est intégré dedans, il n’y a donc rien à s’occuper tout est géré par Microsoft.

votre avatar







linconnu a écrit :



L’idéal c’est d’utiliser un navigateur moderne comme IE 11 sous Windows 8.1

Flash est intégré dedans, il n’y a donc rien à s’occuper tout est géré par Microsoft.





[jvachez]



IE 11 est trop moderne, IE6 est mieux.<img data-src=" />



[/jvachez]


votre avatar







linconnu a écrit :



L’idéal c’est d’utiliser un navigateur moderne comme IE 11 sous Windows 8.1

Flash est intégré dedans, il n’y a donc rien à s’occuper tout est géré par Microsoft.







Jvachez est de retour !



Edit: m*rde, grilled :p


votre avatar







linconnu a écrit :



L’idéal c’est d’utiliser un navigateur moderne comme IE 11 sous Windows 8.1

Flash est intégré dedans, il n’y a donc rien à s’occuper tout est géré par Microsoft.





Si tu veux vraiment être tranquille, avoir une interface moderne, une efficacité incomparable et une utilisation raisonnable des ressources, il n’y a qu’une solution : lynx (ou à la limite wget+vi mais ça fait deux logiciels).


votre avatar







TaigaIV a écrit :



Si tu veux vraiment être tranquille, avoir une interface moderne, une efficacité incomparable et une utilisation raisonnable des ressources, il n’y a qu’une solution : lynx (ou à la limite wget+vi mais ça fait deux logiciels).





C’est vrai que même Google ne fait pas des interfaces aussi épurées.<img data-src=" />


votre avatar







nost4r a écrit :



Ce n’est pas Firefox qui le met à jour, c’est l’outil Update de Flash player.



Chrome est un cas particulier car Flash est installé et intégré par Chrome et n’est pas accessible sur les autres navigateurs, c’est un plugin pepper





Comprends plus<img data-src=" />



Firefox 30 l’installe aussi automatiquement (je viens de vérifier)





est clairement sous entendu qu’il n’y a que Chrome qui fasse la maj automatiquement, hors c’est faux car comme tu le dis Firefox 30 le fait également, chose confirmé chez moi aussi.



Et la tu dis que ce n’est pas firefox qui le met a jour.



Je suis alle sur le site adobe pour telecharger la mise a jour, mais avant l’ordi s’est allume et firefox lance sans aucun message sur ma machine.


votre avatar







TaigaIV a écrit :



Si tu veux vraiment être tranquille, avoir une interface moderne, une efficacité incomparable et une utilisation raisonnable des ressources, il n’y a qu’une solution : lynx (ou à la limite wget+vi mais ça fait deux logiciels).







Je le fais de temps en temps, sur des liens présents dans des messages m’expliquant comment augmenter mes gains au loto ou bien venant du Nigéria et demandant de l’aide pour récupérer une somme rondelette bloquée en banque.



Edit Je veux dire le wget +vi (gvim en fait)


votre avatar







frscot a écrit :



Tu vois comment que c’est installe automatiquement? Dans options\update je ne vois pas de mise a jour depuis la version 30. Et je n’ai pas eu de message aujourd’hui ou hier?









Je vérifie toujours simplement ici :



https://www.adobe.com/software/flash/about/


votre avatar

J’espere que cette maj “forcé” installe aussi Mc Affe ou autre logiciel de merde :)



Ras le cul de Flash et Java qui passe leur temps a essayer d’installer des merdes sur mes PC.



rhaaa fait du bien de se defouler :)

votre avatar







gathor a écrit :



Si vous êtes deux à me confirmer que c’est le cas, ou je vais ajouter un mot. Contrairement à Google je n’ai pas vu de communication de la part de Mozilla sur ce point et n’ayant pas Flash d’installé sur Firefox, je ne pouvais pas tester la manipulation. Sur IE par contre, c’est pas automatique <img data-src=" />





Dommage pour ie =&gt; <img data-src=" />

Sinon, peut être que chez Mozilla, ils sont moins mégalo et n’estiment pas important de signaler une information qui me semble du même acabit que «oh regardez ! j’ai un poil d’anus qui me gratte alors je prend la pince a épiler et je le retire !»

En tous cas, GG a Google et Mozilla pour avoir pris l’initiative de mettre à niveau le plugin flash sur leur browser.


votre avatar







gathor a écrit :



Si vous êtes deux à me confirmer que c’est le cas, ou je vais ajouter un mot. Contrairement à Google je n’ai pas vu de communication de la part de Mozilla sur ce point et n’ayant pas Flash d’installé sur Firefox, je ne pouvais pas tester la manipulation. Sur IE par contre, c’est pas automatique <img data-src=" />





Sur Windows 8, la mise à jour pour IE est faite par Windows Update, et avec les paramètres classiques, c’est fait automatiquement.


votre avatar







gathor a écrit :



Si vous êtes deux à me confirmer que c’est le cas, ou je vais ajouter un mot. Contrairement à Google je n’ai pas vu de communication de la part de Mozilla sur ce point et n’ayant pas Flash d’installé sur Firefox, je ne pouvais pas tester la manipulation. Sur IE par contre, c’est pas automatique <img data-src=" />







RECTIF de mon dernier commentaire :







caoua a écrit :



Dommage pour ie =&gt; <img data-src=" />

Sinon, peut être que chez Mozilla, ils sont moins mégalo et n’estiment pas important de signaler une information qui me semble du même acabit que «oh regardez ! j’ai un poil d’anus qui me gratte alors je prend la pince a épiler et je le retire !»

En tous cas, GG a Google et Mozilla pour avoir pris l’initiative de mettre à niveau le plugin flash sur leur browser.







Il n’y a pas a congratuler Mozilla car d’après nost4r





nost4r a écrit :



Ce n’est pas Firefox qui le met à jour, c’est l’outil Update de Flash player.





c’est le plugin flash qui s’est mis à jour tout seul dans Firefox.

Mozilla n’a donc pas a communiquer sur le sujet.


votre avatar

Moi chrome refuse de passer en .145, je suis toujours en .125



j’ai fait passer tout le reste des navigateur en .145.

votre avatar







nost4r a écrit :



Ce n’est pas Firefox qui le met à jour, c’est l’outil Update de Flash player.





Et ce batard m’a installé McAfee viruscan SANS CASE a décocher/cocher <img data-src=" /><img data-src=" /><img data-src=" />, ca m’a mis la rage, z’avez pas idée !!





Par chance, il se desinstalle aisément, mais j’ai la rage quand même RRAAAAAAAHHHHHHH !!


votre avatar

Notez que sous linux, l’excellente couche de compatibilité “Fresh Plugin” permet l’utilisation du plugin flash PPAPI de Chrome dans les navigateurs NPAPI qu’est par exemple Firefox.



Ainsi, il est possible de bénéficier de Flash 14 et de ce genre d’update malgré l’abandon de flash par Adobe sur les plateformes libres <img data-src=" />

votre avatar

Firefox 30, je l’ai fait moi même en passant par la gestion des modules..

d’ailleurs il se mets rarement a jours tous seul :( ou faut attendre 1 semaine..)

votre avatar







nost4r a écrit :



Ce n’est pas Firefox qui le met à jour, c’est l’outil Update de Flash player.



Chrome est un cas particulier car Flash est installé et intégré par Chrome et n’est pas accessible sur les autres navigateurs, c’est un plugin pepper







+1 Flash Player n’est pas intégré à Firefox.



Sous Chrom(e|ium), Flash est intégré par défaut c’est un plugin PPAPI.





Aussi @SebGalois



On a bel et bien la version 14.XXX sous GNU/Linux en version PPAPI.

La version NPAPI (Firefox et autres, Chrom(e|ium) ne supporte plus NPAPI depuis la version 35) est bel et bien en version 11.XXX.



My 2 cents.


votre avatar







wget a écrit :



+1 Flash Player n’est pas intégré à Firefox.



Sous Google Chrom(e|ium), Flash est intégré par défaut c’est un plugin PPAPI.





<img data-src=" /> Sur Chromium, Flash n’est pas intégré par défaut, c’est l’une des différence avec Google Chrome <img data-src=" />fr.wikipedia.org Wikipedia


votre avatar







athlon64 a écrit :



<img data-src=" /> Sur Chromium, Flash n’est pas intégré par défaut, c’est l’une des différence avec Google Chrome <img data-src=" />fr.wikipedia.org Wikipedia







Oui c’est juste. La version PPAPI n’est pas bundlée directement sous Chromium, mais je prends l’habitude de l’installer directement. Juste un paquet en plus à installer à partir des dépots (sous ArchLinux du moins).


votre avatar







Jarodd a écrit :



J’aime bien la présentation de la faille faite dans un fichier swf <img data-src=" />



D’autant plus qu’on n’a pas de détail sur ce fameux fichier spécialement conçu pour l’exploitation.



Sinon, s’il s’agit d’une faille du lecteur d’Adobe, pourquoi les navigateurs et les sites devraient se mettre à jour ? La faille les touche aussi alors, donc ce n’est pas une faille de Flash ? Et concrêtement, il faut faire quoi pour que les sites soient à jour ? <img data-src=" />







Flash, dans un navigateur internet, tourne sous forme de plug-in : c’est lui qui est à changer…


Flash : une mise à jour critique, parfois installée automatiquement

  • Flash devient trop bavard face à un fichier SWF spécialement conçu

  • Un correctif est disponible, les sites se mettent à jour

Fermer