Adobe dévoile l'existence d'une faille critique affectant l'application Flash Player, développée en son temps par Macromedia, et présente simultanément un correctif.
"Sitôt avérée, sitôt corrigée", pourrait être le slogan d'Adobe-Macromedia lorsqu'il s'agit des failles de sécurité qui touchent ses logiciels. C'est le cas pour son lecteur d'animations Flash, à propos duquel une vulnérabilité qualifiée de "hautement critique" vient d'être découverte. Dans un concert d'avertissements, dont certains émanaient de Microsoft—les versions 98, Millenium Edition et XP emportent une versions relativement ancienne du Flash Player—on apprend en effet que cette application, qui permet d'afficher dans les navigateurs Internet certaines images animées au format SWF (ShockWave Flash), présente bien une faiblesse, dont Adobe se refuse pour l'instant à indiquer la nature réelle.
On sait seulement que "ces vulnérabilités peuvent être exploitées par le biais d'un contenu piégé chargé depuis un emplacement distant, et ce depuis un navigateur Internet, un client e-mail, ou toute autre application qui inclut ou emploie le logiciel Flash Player." Dixit Adobe.
Symantec se fait plus disert sur la question, indiquant par le canal de son système de gestion des alertes et des menaces DeepSight Threat Management System qu'une "exploitation de cette faille est possible, en permettant l'exécution d'un code malicieux sur un poste client", et que "la propagation dudit code serait exponentielle s'il venait à être inclus dans une page Web piégée sous la forme d'une image animée au format SWF. Apparemment, aucune action volontaire n'est nécessaire de la part de l'internaute ; une simple visite sur un site piégé suffirait à infecter un PC à distance."
Comme indiqué en début d'article, Adobe-Macromedia a visiblement pris la mesure de la menace, puisqu'il propose déjà un correctif pour son logiciel, lequel, rappelons-le, fait l'objet de plug-ins au sein des principaux navigateurs Internet, comme Microsoft Internet Explorer, Opera, ou Mozilla Firefox/SeaMonkey/K-Meleon/Galeon/Flock. Il semble toutefois que dans ce dernier cas, l'ajout (quand c'est possible) de l'extension AdBlock permette de limiter la casse. Le SANS Institute insiste tout de même sur le fait que les images piégées ne portent pas systématiquement le suffixe .SWF, ce qui rend les choses plus compliquées encore...
Vous l'aurez compris, il vaut mieux aller directement sur le site d'Adobe, et se procurer la version sécurisée du lecteur Flash Player.
"Sitôt avérée, sitôt corrigée", pourrait être le slogan d'Adobe-Macromedia lorsqu'il s'agit des failles de sécurité qui touchent ses logiciels. C'est le cas pour son lecteur d'animations Flash, à propos duquel une vulnérabilité qualifiée de "hautement critique" vient d'être découverte. Dans un concert d'avertissements, dont certains émanaient de Microsoft—les versions 98, Millenium Edition et XP emportent une versions relativement ancienne du Flash Player—on apprend en effet que cette application, qui permet d'afficher dans les navigateurs Internet certaines images animées au format SWF (ShockWave Flash), présente bien une faiblesse, dont Adobe se refuse pour l'instant à indiquer la nature réelle.
On sait seulement que "ces vulnérabilités peuvent être exploitées par le biais d'un contenu piégé chargé depuis un emplacement distant, et ce depuis un navigateur Internet, un client e-mail, ou toute autre application qui inclut ou emploie le logiciel Flash Player." Dixit Adobe.
Symantec se fait plus disert sur la question, indiquant par le canal de son système de gestion des alertes et des menaces DeepSight Threat Management System qu'une "exploitation de cette faille est possible, en permettant l'exécution d'un code malicieux sur un poste client", et que "la propagation dudit code serait exponentielle s'il venait à être inclus dans une page Web piégée sous la forme d'une image animée au format SWF. Apparemment, aucune action volontaire n'est nécessaire de la part de l'internaute ; une simple visite sur un site piégé suffirait à infecter un PC à distance."
Comme indiqué en début d'article, Adobe-Macromedia a visiblement pris la mesure de la menace, puisqu'il propose déjà un correctif pour son logiciel, lequel, rappelons-le, fait l'objet de plug-ins au sein des principaux navigateurs Internet, comme Microsoft Internet Explorer, Opera, ou Mozilla Firefox/SeaMonkey/K-Meleon/Galeon/Flock. Il semble toutefois que dans ce dernier cas, l'ajout (quand c'est possible) de l'extension AdBlock permette de limiter la casse. Le SANS Institute insiste tout de même sur le fait que les images piégées ne portent pas systématiquement le suffixe .SWF, ce qui rend les choses plus compliquées encore...
Vous l'aurez compris, il vaut mieux aller directement sur le site d'Adobe, et se procurer la version sécurisée du lecteur Flash Player.
Source :
InformationWeek
