Flash vient de mettre en ligne une nouvelle version de son lecteur multimédia. Estampillée 14.0.0.145, elle corrige des failles jugées critiques, permettant notamment d'exécuter du code à distance afin de récupérer des informations personnelles. Il est donc important de rapidement se mettre à jour et Chrome le fait d'ailleurs automatiquement en tâche de fond.
Flash devient trop bavard face à un fichier SWF spécialement conçu
Dans le petit monde de la sécurité informatique, le « traumatisme » Heartbleed est toujours présent. Si ce n'est évidemment pas la seule faille de sécurité, elle était exceptionnelle à plus d'un titre : facilité de mise en œuvre, nombre de machines touchées et le temps avant qu'elle ne soit découverte. Aujourd'hui, c'est au tour de Flash de faire face à une importante faille de sécurité, bien évidemment corrigée via la dernière mise à jour du lecteur d'Adobe.
Comme Heartbleed, c'est l'équipe de recherche en sécurité de Google qui est à l'origine de cette découverte. Michele Spagnuolo, ingénieur italien chez le géant du web, donne d'ailleurs de nombreux détails sur son blog. Pour faire simple, lorsqu'un lecteur Flash exécute un fichier SWF spécialement conçu pour exploiter la faille, un pirate peut récupérer des informations sensibles en exploitant les cookies présents sur la machine (voir cette présentation).
Un correctif est disponible, les sites se mettent à jour
Informé du problème, Adobe a donc mis en ligne une nouvelle version 14.0.0.145 de Flash pour Windows et OS X, ainsi qu'une mouture 11.2.202.394 pour Linux. Il est donc plus que recommandé de l'installer. Notez que Google a d'ores et déjà mis à jour son navigateur Chrome, et ce, de manière silencieuse. Vous êtes également plusieurs à nous préciser que c'est aussi le cas pour Firefox 30. Dans les autres cas, il faudra le faire manuellement.
Mais, comme le précise Michele Spagnuolo, il est également important que les sites se mettent à jour afin d'empêcher la récupération d'informations via cette technique. Plusieurs domaines de Google étaient ainsi vulnérables (accounts.google.com, maps.google.com, YouTube, etc.) ainsi que d'autres sites comme eBay, Instagram, Twitter, Tumblr, etc. Étant à l'origine de la découverte, Google a bien évidemment corrigé ses sites afin d'éviter des fuites de données, tout comme Twitter et Tumblr.
Commentaires (35)
#1
Firefox 30 l’installe aussi automatiquement (je viens de vérifier)
#2
Mais quelle passoire ce logiciel, pourquoi ne passe-t-on pas au “full” HTML5 ?
#3
Sinon pour être sur d’être a jour il se récupère la:
https://www.adobe.com/fr/products/flashplayer/distribution3.html
#4
Pour faire simple, lorsqu’un lecteur Flash exécute un fichier SWF spécialement conçu pour exploiter la faille, un pirate peut récupérer des informations sensibles en exploitant les cookies présents sur la machine (voir cette présentation).
J’aime bien la présentation de la faille faite dans un fichier swf " />
D’autant plus qu’on n’a pas de détail sur ce fameux fichier spécialement conçu pour l’exploitation.
Sinon, s’il s’agit d’une faille du lecteur d’Adobe, pourquoi les navigateurs et les sites devraient se mettre à jour ? La faille les touche aussi alors, donc ce n’est pas une faille de Flash ? Et concrêtement, il faut faire quoi pour que les sites soient à jour ? " />
#5
#6
Je me passe déjà des cookies, vivement qu’on puisse se passer définitivement de ce gruyère de Flash.
#7
#8
#9
Ouais, je confirme, c’est le cas pour Firefox aussi.
D’ailleurs, ils lancent l’UAC sous windows, et si tu dis non, il remettent la popup jusqu’a que tu accepte " />.
#10
#11
#12
Chromium, pas de FLASH, no stress..
#13
#14
L’idéal c’est d’utiliser un navigateur moderne comme IE 11 sous Windows 8.1
Flash est intégré dedans, il n’y a donc rien à s’occuper tout est géré par Microsoft.
#15
#16
#17
#18
#19
#20
#21
#22
J’espere que cette maj “forcé” installe aussi Mc Affe ou autre logiciel de merde :)
Ras le cul de Flash et Java qui passe leur temps a essayer d’installer des merdes sur mes PC.
rhaaa fait du bien de se defouler :)
#23
#24
#25
#26
Moi chrome refuse de passer en .145, je suis toujours en .125
j’ai fait passer tout le reste des navigateur en .145.
#27
#28
Notez que sous linux, l’excellente couche de compatibilité “Fresh Plugin” permet l’utilisation du plugin flash PPAPI de Chrome dans les navigateurs NPAPI qu’est par exemple Firefox.
Ainsi, il est possible de bénéficier de Flash 14 et de ce genre d’update malgré l’abandon de flash par Adobe sur les plateformes libres " />
#29
Firefox 30, je l’ai fait moi même en passant par la gestion des modules..
d’ailleurs il se mets rarement a jours tous seul :( ou faut attendre 1 semaine..)
#30
#31
#32
#33
#34
Pour Firefox 30 sous MAC OS X, il faut cliquer sur les menus Outils / Modules complémentaires ou bien saisir “about:addons” comme URL.
On sélectionne l’onglet “Plugins”. On clique sur le lien en haut “Vérifier si les plugins sont à jour”, qui ouvre une page surhttps://www.mozilla.org/fr/plugincheck/
Et là, on voit ce que peut détecter Firefox : on voit qu’il ne gère correctement que :RealPlayer
Silverlight
Shockwave for DirectorAdobe
Shockwave Flash
Pour le reste, il ne sait pas où chercher la mise à jour : les boutons “Rechercher” lance des recherches sur google :
iPhotoPhotocasti
Google Earth Plug-in
Module d’applet Java
Adobe Acrobat NPAPI Plug-in
SharePoint Browser Plug-in
J’ai pas vu de mécanisme de mise à jour automatique dans Firefox.
Il faut aller dans les Préférences Systèmes” de MAC OS X, partie “Autre” et icône “Flash Player”, onglet “Avancé”, Puis “Mise à jour” et choisir le degré d’automatisme de la mise à jour (autoriser, avertir avant, jamais rechercher les maj).
A la fin de la mise jour de Flash, vous pouvez aussi choisir le degré d’automatisme.
#35