Connexion
Abonnez-vous

Flash : Adobe colmate une faille critique déjà exploitée

Oui, encore

Flash : Adobe colmate une faille critique déjà exploitée

Le 17 juin 2016 à 12h20

Kaspersky a publié les détails d’une nouvelle faille critique de Flash. Alors que la technologie n’en finit plus d’être critiquée, la brèche se révèle dangereuse car est déjà activement exploitée. Le correctif est disponible depuis peu et devrait être installé aussi rapidement que possible.

Flash est victime d’une nouvelle vulnérabilité critique. Elle est déjà exploitée par des pirates, ce qui représente un danger réel pour les utilisateurs. Sur un site, un contenu Flash malveillant, spécialement conçu pour exploiter la faille, peut déclencher un plantage du lecteur. De là, les pirates pourraient obtenir une escalade des privilèges et donc faire déclencher un code arbitraire pour contaminer l’ordinateur. Elle est estampillée CVE-2016-4171 et est présente dans les versions Windows, OS X, Linux et Chrome OS du lecteur.

Un correctif à appliquer rapidement

Selon Kaspersky qui en dévoile certains détails, la faille est déjà exploitée. Elle fait suite à deux autres brèches qui avaient été utilisées par un groupe de pirate nommé StarCruft, qui s’est fait une spécialité des APT (menace persistante avancée). L’éditeur lui connaît deux opérations en cours : Daybreak, lancée en mars 2016 et utilisant la fameuse faille dont il est ici question, et Erebus, qui utilise une autre faille, colmatée depuis. 

Adobe propose le correctif depuis cette nuit. Il est recommandé de l’installer sans attendre. Dans le cas d’un navigateur comme Chrome, Internet Explorer ou Edge – qui intègrent une version isolée du plugin – le correctif est également disponible. Il suffit d’aller vérifier les systèmes de mise à jour associés.

Trois failles critiques exploitées en trois mois

Comme l’indique Kaspersky, il s’agit de la troisième faille critique en trois mois exploitée activement avant de recevoir un correctif. Ces problèmes de sécurité n’amélioreront pas la réputation désastreuse de Flash, dont tout le monde ou presque cherche à se débarrasser désormais. Dernier acteur en date, Apple qui a annoncé que Safari 10 désactiverait par défaut le plugin, avec possibilité de le réactiver manuellement si besoin. Une approche retenue par Firefox depuis quelque temps.

Notez enfin que les utilisateurs de l’outil EMET (Enhanced Mitigation Experience Toolkit) de Microsoft étaient protégés contre l’exploitation de cette faille.

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Bon, tu sembles me prendre de haut, donc je vais pas prendre de pincettes :




  1. J’ai un doctorat en biologie, donc écosystème, je sais mieux que toi ce que c’est ;

  2. le terme écosystème  est initialement lié à un système biologique, mais s’est depuis ouvert, métaphoriquement, à d’autres horizons.



     source trouvé en 1 seconde sur Google ->fr.wikipedia.org Wikipedia



    Je vais pas développer, je pourrai, métaphoriquement, écrire (encore) une thèse sur le sujet.

     

votre avatar







psn00ps a écrit :



Si seulement il pouvait y avoir plus de 3D sur les sites pornos…

3D Vision a besoin de Flash pour afficher de la 3D dans les navigateurs.





God damnit ! tu as raison… maintenant y’a plus qu’a attendre la balise <3d></3d>


votre avatar







silent screamer a écrit :



Bon, tu sembles me prendre de haut, donc je vais pas prendre de pincettes :



1. J'ai un doctorat en biologie, donc écosystème, je sais mieux que toi ce que c'est ; 





J’ai passé une soirée inoubliable à sauver le PC d’une chercheuse en bio du CNRS, tu pouvais pas mieux me prouver que c’est pas ton domaine.

Quand Joel de Rosnay parle d’écosystème, je l’écoute. Quand c’est silent screamer, Doctorant en Liens Wikipédia qui me fait le coup de l’argument d’autorité je reste stoïque. 


votre avatar

Un surfeur de l’Ile Maurice vivant à Paris…

Il connaitrait pas quelqu’un chez bloctel.me ?<img data-src=" />

votre avatar

Le principe d’EMET n’est pas mal en soi, et je l’utilise en v3 où il se contente de faire son job, mais quand il décide d’en faire à sa tête, et il est plutôt chatouilleux dans les versions récentes, rien ne va plus. <img data-src=" />

votre avatar

Je me suis débarrassé de Flash depuis au moins 2 ans, et les passage de sites de streaming en HTML5 y a bien aidé. Si je tombe encore sur un site qui me demande Flash pour une video (genre le Figaro je crois…), je zappe. Pas question de le réinstaller.



Il y a encore des sites grand public ou autre qui imposent le Flash ?



Vivement que ce logiciel disparaisse de l’écosystème….

votre avatar

En visitant le lien donné par David, on trouve effectivement quelques infos. C’est orienté entreprise, ou c’est une solution qu’on peut s’installer à la maison, de manière similaire à l’antivirus ? Est-ce si différent d’un antivirus avec détection heuristique ?

votre avatar

Fort heureusement, les porn sites sont majoritairement en html5. Ce qui va garantir l’arrêt de flash, définitivement. On y surf en total sécurité. Sortez couverts hein !





<img data-src=" />

votre avatar

Le dernier gros site que je visite qui utilise flash est Twitch.

La raisons est principalement technique car le streaming vidéo (HLS) n’est pas encore supporté par tout les navigateurs.

votre avatar







Inny a écrit :



Le principe d’EMET n’est pas mal en soi, et je l’utilise en v3 où il se contente de faire son job, mais quand il décide d’en faire à sa tête, et il est plutôt chatouilleux dans les versions récentes, rien ne va plus. <img data-src=" />







Vu l’avancement du “projet” (version 5.5) je me demande encore pourquoi ce n’est pas inclus dans Windows par défaut…


votre avatar

Tiens au passage, je viens de voir qu’ils ont repoussé la date limite d’existence de la page des téléchargements hors-ligne de flash. Elle est maintenant fixée au 30 juin.

votre avatar







silent screamer a écrit :



Il y a encore des sites grand public ou autre qui imposent le Flash ?



Vivement que ce logiciel disparaisse de l’écosystème….







Oui :/

Twitter et periscope…

Géo portail qui te met sur la version flash en priorité, alors que la version en HTML5 existe, mais d’une lenteur….

Certaines pub redface

Certain forum qui affiche encore les applet youtube en flash… :/



M’enfin la liste doit être encore longue….. Mais je trouve que ça va quand même en s’améliorant depuis quelques années


votre avatar

Sur mon poste, il provoque un crash de n’importe quelle application Office 365 lors de leur démarrage. MS qui fait planter MS. Je trouve ça plutôt marrant.

votre avatar

+deezer.

votre avatar

Franchement, le monde devrait lancer une class action contre Adobe pour cette horreur de Flash, depuis le temps,&nbsp; vu tous les dégâts…

votre avatar

noco.tv qui utilise encore le flash&nbsp;<img data-src=" />

votre avatar

on peut pas détruire flash, sérieux ce serait quand même plus simple.

votre avatar

Exact. Déjà que l’e-sport est pas trop une de mes tasses de thé, mais les rares fois où ça m’aurait intéressé, j’ai vu Twitch -&gt; faut Flash -&gt; à la poubelle le lien…

votre avatar

Et encore, à mes débuts, je devais faire des sites en Flash (certes on déconnait bien) mais je détestait déjà ça… Increvable la bête…

votre avatar







silent screamer a écrit :



Vivement que ce logiciel disparaisse de l’écosystème….





Tu n’as aucune idée de ce qu’“écosystème” signifie.


votre avatar

Si seulement il pouvait y avoir plus de 3D sur les sites pornos…

3D Vision a besoin de Flash pour afficher de la 3D dans les navigateurs.

votre avatar

C’est totalement différent dans le principe, c’est un outil destiné à combler des failles connues en forçant l’utilisation d’un niveau de sécurité plus élevé. Mais certains logiciels ne sont pas fait pour qu’on trafique leur gestion mémoire par exemple. Au hasard, certains logiciels Microsoft. <img data-src=" />

Flash : Adobe colmate une faille critique déjà exploitée

  • Un correctif à appliquer rapidement

  • Trois failles critiques exploitées en trois mois

Fermer