Des milliers de sites sous la menace de vulnérabilités Flash

Le par  |  5 commentaire(s) Source : Par la rédaction de Vulnérabilité.com

Des chercheurs en sécurité informatique ont révélé l'existence de vulnérabilités critiques affectant du contenu Flash d'Adobe de plusieurs dizaines de milliers de sites Web et dont l'exploitation pourrait compromettre les données personnelles des visiteurs.

Dans un article plutôt alarmiste, le quotidien britannique The Register se fait l'écho des découvertes d'un membre de la Google Security Team et d'un spécialiste des tests d'intrusion travaillant pour la firme iSEC Partners. Tous deux viennent de publier un livre qui pourrait tomber entre de mauvaises mains et dans lequel ils décrivent des vulnérabilités Flash SWF ( ShockWave Flash ). Sont ainsi concernés tout un ensemble d'animations Flash et autres lecteurs audio, vidéo, très prisés sur le Web.

Selon ces chercheurs, certaines applications utilisées pour créer du contenu SWF sont actuellement disponibles avec des fichiers SWF pré-générés qui contiennent des vulnérabilités XSS ( Cross site scripting ), rendant ainsi possible l'injection de chaînes de caractères malicieuses dans du code légitime. Parmi ces applications, Adobe Dreamweaver CS3 et Adobe Acrobat Connect.

Les vulnérabilités XSS sont exploitées quand des attaquants leurrent les utilisateurs en les incitant à cliquer sur des liens malicieux véhiculés par mail ou présents sur une page Web. Si un internaute est connecté à un compte sur un site Web et qu'il clique sur un lien SWF malicieux, l'attaquant peut alors avoir accès à sa session. Pour le moins inquiétant lorsque ces sites sont des sites bancaires, les chercheurs ayant par ailleurs indiqué que plus de 500 000 applets s'appuyant sur la technologie Flash et présents sur des sites gouvernementaux ou de média sont vulnérables.

De son côté, Adobe a confirmé ces dires et annonce une mise à jour de Flash Player pour début 2008 tout en recommandant pour les utilisateurs finaux l'installation de la dernière version 9.0.115.0, qui offre une solution pour un problème de sécurité également exposé dans le livre. La priorité de l'éditeur américain reste néanmoins une mise à jour pour les fichiers pré-générés vulnérables dans ses logiciels de création, prévue pour janvier 2008.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #193907
voilà pourquoi l'iPhone ne supporte pas ce format tout pourri !

je suis dehors
Le #193912
@seyed
Tu veux dire: tu es dedans tout ce qu'Ipapy t'autorise à avoir, c-à-d un système assez fermé, même s'il est plaisant
Le #193919
toi tu n'as jamais vu d'iPhone jailbreaké :P
Le #193920
<img src="/img/emo/cool.gif" alt="8:" />
Le #193921
"toi tu n'as jamais vu d'iPhone jailbreaké :P"
--
Et toi, tu n'as jamais eu a faire un retour sav sur un iphone jailbreake(par exemple, avec un connecteur cable mort, donc impossibilite de remettre un OS standard)
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]