Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mise à jour critique de Flash pour une faille déjà exploitée sous Windows

A patch a day keeps the hacker away. Or not.

Mise à jour critique de Flash pour une faille déjà exploitée sous Windows

Le 08 avril 2016 à 06h30

Adobe a publié une mise à jour pour son lecteur Flash. Les utilisateurs concernés sont encouragés à l’installer au plus vite, car l'une des vulnérabilités qui y sont colmatées est en fait déjà exploitée de manière active.

L’éditeur avait publié un billet sur son blog dédié à la sécurité mardi dernier. Il y avertissait les utilisateurs qu’une faille, estampillée CVE-2016-1019, était activement exploitée sur Windows 10 et l’ensemble des versions antérieures du système de Microsoft. Toutes les versions de Flash depuis la 20.0.0.306 sont touchées, mais les utilisateurs ayant au moins la 21.0.0.182 sont en partie protégés par une technique de protection mise en place.

Attention cependant, car si la faille est exploitée sur Windows seulement (a priori), OS X et Linux sont également concernés. Jugée critique, elle permet à un pirate sachant où viser de provoquer un plantage du lecteur et de prendre à terme le contrôle de la machine, via une exécution arbitraire de code.

Adobe avait promis qu’un patch de sécurité serait diffusé le 7, en dehors de son cycle habituel de mises à jour. Avec le décalage horaire, il est finalement arrivé durant la nuit et est donc disponible au téléchargement. Comme toujours dans ce genre de cas, il suffit de se rendre sur cette page et de récupérer la dernière révision de Flash. Au total, plus d'une vingtaine de brèches sont ainsi bouchées.

Notez que si vous n’avez jamais installé ce lecteur, Internet Explorer 10/11, Edge et Chrome l’intègrent pas défaut, avec une isolation spécifique. Ces navigateurs reçoivent donc des mises à jour séparées, via les outils idoines (Windows Update et les mises à jour intégrées de Chrome).

Commentaires (32)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et certains sites continuent encore et toujours à utiliser cette merde de flash.

Même des grandes enseignes qui ont pourtant des moyens, on va jamais s’en débarassé, c’est comme IE6 à sa “grande époque” : la nécrose du web.

votre avatar







Stel a écrit :



Et certains sites continuent encore et toujours à utiliser cette merde de flash.

Même des grandes enseignes qui ont pourtant des moyens, on va jamais s’en débarassé, c’est comme IE6 à sa “grande époque” : la nécrose du web.





[troll]À la différence que Flash à eu une vraie heure de gloire, et une vraie utilité :p[/troll]



Pardon, j’ai pas pu résister…


votre avatar

Je ne ferai pas de commentaire.



Chrome et IE intègrent Flash, je crois que passer à Firefox va s’imposer tant qu’ils n’arrêtent pas cette stupidité.

votre avatar

Personnellement je n’installe plus le client flash player vue qu’il est intégré à Chrome.

votre avatar

Euh, Flash, intégré à IE ?_? … je ne suis pas convaincu.

votre avatar

Flash a plus de failles que tous les produits Microsoft réunis… et certains ont un tout autre niveau de complexité.

Il en va de même avec les autres produits Adobe : reader mais aussi les Adobe CC programmés avec les pieds, et surconsommant les ressources machines

Passons également sur leur nouveau modèle économique clairement abusif …. et on obtient une boite qui récupère le pompon !

MAis que font les autorités de regulation ? Quand on sait ce que les industriels prennent dans la tronche pour un écart de qualité 

votre avatar

“Toujours vivant, rassurez vous Toujours la banane, toujours debout 

Il est pas né ou mal barré L’idiot qui voudrait m’remplacer ”



 Flash (avril 2016)

votre avatar

sur Chrome, ça peut se désactiver par défaut, du coup on peut activer au cas par cas les encarts

(ça permet de passer pas mal de pubs au passage <img data-src=" />)

votre avatar







Haseo a écrit :



[troll]À la différence que Flash à eu une vraie heure de gloire, et une vraie utilité :p[/troll]







Effectivement : Joe Cartoon <img data-src=" />


votre avatar







AlphaBeta a écrit :



Flash a plus de failles que tous les produits Microsoft réunis… et certains ont un tout autre niveau de complexité.





Plus de faille que dans Windows ? Même en forçant ça parait difficile <img data-src=" />



Pour ma part ça fait quasiment 1 an qu’il est désactivé et que j’en ai plus besoin.


votre avatar

Flash est quand même de moins en moins utilisé je trouve.Flashblock est une bonne sécurité.

votre avatar

Cela dit (et ça me fait mal de l’admettre), je constate qu’à l’heure actuelle, la mémoire vive est beaucoup mieux gérée avec les lecteurs vidéos en Flash qu’avec les lecteurs vidéos en HTML5.

C’est vrai que ces deux technologies n’ont pas autant de vécu, mais j’espère que d’ici à la disparition de Flash (que j’attends de pied ferme), le HTML5 fera encore de beaux progrès.

votre avatar







AlphaBeta a écrit :



Flash a plus de failles que tous les produits Microsoft réunis… et certains ont un tout autre niveau de complexité.

Il en va de même avec les autres produits Adobe : reader mais aussi les Adobe CC programmés avec les pieds, et surconsommant les ressources machines

Passons également sur leur nouveau modèle économique clairement abusif …. et on obtient une boite qui récupère le pompon !

MAis que font les autorités de regulation ? Quand on sait ce que les industriels prennent dans la tronche pour un écart de qualité&nbsp;





troll detected dans la première phrase.

Pour les produits Adobe CC “programmés avec les pieds” avec consommation excessive des ressources, il va falloir argumenter et donner des sources.


votre avatar

Simple : ce genre de site, c’est exxit et ils n’ont plus ma visite.



J’invite tout le monde à “faire le ménage” dans ses plugins :




  • Flash à virer (toujours faillé)

  • Java à virer (surtout pour un particulier !)

  • Silverlight à virer (pendant de Flash de Microsoft)

votre avatar

Si, mais en fait il est intégré à Windows 8, 8.1 et 10 (et pas directement aux navigateurs) dans la version utilisée par IE10/11 et Edge.



Et ce matin, il est “moins à jour” (v21.0.0.182 sur Edge pour moi, V21.0.0.213, à jour pour Chrome et “Firefox ou autre”, mises à jour auto, hier).



Ce qui fait que si on a W8 ou plus, Firefox ou autre navigateur n’intégrant pas Flash et Chrome, on se retrouvera avec trois versions du plugin Flash….

&nbsp;

votre avatar







Stel a écrit :



Et certains sites continuent encore et toujours à utiliser cette merde de flash.

Même des grandes enseignes qui ont pourtant des moyens, on va jamais s’en débarassé, c’est comme IE6 à sa “grande époque” : la nécrose du web.





Sauf que :




  • IE était gratuit à une époque où les navigateurs étaient souvent des logiciels payants (oui, Opera était payant à ses débuts).

  • Il existait une version d’IE (gratuite) pour MacOS X

  • Netscape, l’autre navigateur gratuit était pire qu’IE, créant des balises selon leur besoin (on lui doit par exemple les frame qui deviendront par la suite les iframe) et même était plus lent (d’expérience personnelle).

  • la W3C, comme à son accoutumé, était déjà totalement à la ramasse entre les besoins et le développement des recommandation, l’HTML5 est finalisé que depuis fin octobre 2014, la norme n’a que 1 an et demi et avec enfin la balise Video par exemple, et jusque là donc, normalement, si tu voulais être vraiment respectueux des normes tu n’avais pas d’autre chose que d’utiliser un plugin comme flash ou silverlight pour afficher une vidéo.



    Dans ce contexte, flash a eu son utilité. La technologie HTML5 et Canvas sont encore très jeunes, et il ne possèdent pas encore une boîte à outils aussi riche. Et finalement, ça ne fait que 1 et demi que l’HTML prend en charge des technologies qui n’était possible qu’avec flash.




votre avatar

OK, merci pour la précision.

Pour ma part, aussi bien chez moi qu’au boulot, on a toujours Windows 7, donc du coup…

votre avatar







S.M. Eisenstein a écrit :



Si, mais en fait il est intégré à Windows 8, 8.1 et 10 (et pas directement aux navigateurs) dans la version utilisée par IE10/11 et Edge.



Et ce matin, il est “moins à jour” (v21.0.0.182 sur Edge pour moi, V21.0.0.213, à jour pour Chrome et “Firefox ou autre”, mises à jour auto, hier).



Ce qui fait que si on a W8 ou plus, Firefox ou autre navigateur n’intégrant pas Flash et Chrome, on se retrouvera avec trois versions du plugin Flash….







Il n’est pas “moins à jour”, les dernières versions pour FF et IE n’ont pas le même numéro, sur le site d’adobe on voit quelle est le numéro de la dernière version disponible, je pense que c’est pareil avec chrome.



J’imagine que les correctifs sont les mêmes et que y a juste une différence de nommage.


votre avatar

Hello,



Désolé je ne trouve pas le bouton pour signaler une erreur, je ne dois pas être bien réveillé ou alors il a disparu ?



“Edge et Chrome l’intègrent pas défaut” –&gt; par défaut peut-être ?

&nbsp;

&nbsp;Tcho



EDIT : après avoir écrit ce commentaire, je vois apparaitre le bouton en haut… le truc c’est que si je ne scrolle pas, le bandeau supérieur n’apparait pas et donc le bouton signaler non plus ; correct ?

votre avatar

Oui, je pense aussi qu’il s’agit d’une différence de “nommage” due aux spécificités de ces trois versions de Flash.



Oui, sur le site d’Adobe, on voit la version de Flash pour Chrome (et celle qu’on a se vérifie par un “chrome://plugins”).

&nbsp;

votre avatar







cadegenere a écrit :



Effectivement : Joe Cartoon <img data-src=" />





Happy Tree Friends&nbsp; ^^


votre avatar







toto313 a écrit :



EDIT : après avoir écrit ce commentaire, je vois apparaitre le bouton en haut… le truc c’est que si je ne scrolle pas, le bandeau supérieur n’apparait pas et donc le bouton signaler non plus ; correct ?







C’est tout à fait ça. <img data-src=" />



Sinon pour flash, je vois qu’il disparait de plus en plus des sites où je vais, et je ne vais pas m’en plaindre, ce truc consomme à blinde de ressources et depuis HTML5 on a des alternatives qui permettent de remplir bien 90% des besoins les plus courants, mais il restera toujours des endroits où on trouvera flash comme restants de la grande époque des jeux en flash où des boites comme ArmorGames qui ont bâti tous leurs jeux dessus, mais de plus en plus je vois Unity remplacer ça.


votre avatar

OMG je ne savais même pas que Chrome faisait nativement tourner Flash. Je viens de le désactiver direct. :s

votre avatar

Ok mais paye ton coup à boire ! <img data-src=" />



<img data-src=" />

votre avatar

Je ne suis pas sûr qu’il insultait qui que ce soit. Par contre la façon dont tu formules tes phrases et toutes les ponctuations et jeux de majuscules … Mais tu ne le fais peut-être pas exprès.

votre avatar

ça s’appelle Pepper, en gros une version de flash utilisant l’API pour les extensions et modules de chez Google appelée PPAPI.

votre avatar







toto313 a écrit :



Hello, 




 EDIT : après avoir écrit ce commentaire, je vois apparaitre le bouton en haut... le truc c'est que si je ne scrolle pas, le bandeau supérieur n'apparait pas et donc le bouton signaler non plus ; correct ?




Correct. 



Mais comment peux tu écrire un commentaire sans avoir le bandeau ?      


Scroll souris, flèche bas, fin, page down,scroll bar -&gt; le bandeau apparait. (pc+windows+firefox)

votre avatar

A l’usage, on ne fait pas toujours attention au changement de “header”. Genre quand tu pars dans les commentaires ou même dans la lecture de l’article. De plus, tous les boutons qui l’accompagnent sont des boutons de partages, avec une grosse mention “X partages”. Si on ne fait pas gaffe, on oublie complètement le dernier picto.



Régulièrement je cherche le bouton d’erreur. Sur un mac 27”, je peux par exemple lire la totalité de cette news sans scroller. Si tu veux signaler une erreur, il n’y a rien d’instinctif à scroller pour voir le bouton apparaître.



Bref, un bouton en bas d’article, toujours ce picto, ce serait beaucoup plus visible.



&nbsp;

votre avatar

Merci NextINpact pour ces commentaires de qualitay <img data-src=" />

votre avatar







arno53 a écrit :



Merci NextINpact pour ces commentaires de qualitay <img data-src=" />





Nous ne les écrivons pas&nbsp;<img data-src=" />


votre avatar

Non mais certaines personnes pourraient être banni des commentaires (tout du moins sur les news Windows si c’est possible car ce sont généralement les mêmes personnes et toujours sur les news Windows …).



Mais bon ca semble un peu tard maintenant, beaucoup des INpactiens qui donnaient une plus value à votre site via les commentaires ont préféré quitter le navire au fils des années … En même temps voir pendant plus de 3 ans des débat tournant en rond sur le Start Screen de Windows 8.x, des commentaires plus politique que technique (NSA, pas Open Source, Linux ca rox / Windaube de M$ ca pue etc..) sur chaque news en ont lassé plus d’un …


votre avatar

Et pourtant, si tu savais le nombre de commentaires supprimés et de comptes bannis…

Mise à jour critique de Flash pour une faille déjà exploitée sous Windows

Fermer