Alerte Flash Player : une vulnérabilité 0-day est exploitée

Le par  |  37 commentaire(s)
Flash_Player

Une vulnérabilité critique dans Flash Player fait actuellement l'objet d'une exploitation. Un patch sera prochainement diffusé.

Adobe publie un avis de sécurité au sujet d'une vulnérabilité critique affectant Flash Player et pour laquelle un exploit a été repéré. Le correctif pour cette faille n'est pas encore disponible. Le patch salvateur est attendu au plus tôt dans le courant de cette journée de jeudi.

Occupy-FlashLes utilisateurs de Flash Player - version 21.0.0.226 et antérieure sur toutes les plates-formes - sont donc les cibles potentielles d'une attaque dans l'attente du patch. Les informations diffusées à ce sujet sont toutefois maigres pour le moment.

Adobe parle d'une exploitation pouvant provoquer un plantage et susceptible de permettre à un attaquant de prendre le contrôle d'un système. Une explication très générique. Ladite vulnérabilité est référencée en tant que CVE-2016-4117.

Elle a été découverte et rapportée par Genwei Jiang de la société de sécurité FireEye. Ce même chercheur avait été cité le mois dernier parmi les découvreurs d'une vulnérabilité critique dans Flash Player exploitée pour des infections avec les ransomwares Locky et Cerber.

Flash Player est régulièrement parmi les vecteurs d'attaque privilégiés des cybercriminels. Les attaques sont cependant en général très ciblées.

Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
SuperDindon3D Hors ligne Vétéran 1706 points
Le #1896034
Flash désinstallé depuis presque 1 an. Il ne manque pas tant que ça.
Répondre en citant Masquer
skynet Absent VIP 54768 points
Le #1896036
Mise à jour de Chrome ce matin, sans doute aussi pour corriger cette faille dans Flash intégré...
Répondre en citant Masquer
Safirion Hors ligne VIP 37769 points
Le #1896044
skynet a écrit :

Mise à jour de Chrome ce matin, sans doute aussi pour corriger cette faille dans Flash intégré...


Chrome gère vraiment sur les failles flash, c'est vraiment le pied

Sinon, Flash, toujours la même passoire... Vivement sa mort.
Répondre en citant Masquer
skynet Absent VIP 54768 points
Le #1896052
Safirion a écrit :

skynet a écrit :

Mise à jour de Chrome ce matin, sans doute aussi pour corriger cette faille dans Flash intégré...


Chrome gère vraiment sur les failles flash, c'est vraiment le pied

Sinon, Flash, toujours la même passoire... Vivement sa mort.


Elle est pour bientôt, Flash souffle ses dernières bougies
Répondre en citant Masquer
Rymix Hors ligne VIP 13608 points
Le #1896053
Safirion a écrit :

skynet a écrit :

Mise à jour de Chrome ce matin, sans doute aussi pour corriger cette faille dans Flash intégré...


Chrome gère vraiment sur les failles flash, c'est vraiment le pied

Sinon, Flash, toujours la même passoire... Vivement sa mort.


Rip absoluflash
Répondre en citant Masquer
Magic2016 Absent Vénéré 4801 points
Le #1896080
Ce qui est malheureux c'est que l'éditeur n'a pas de comptes à rendre auprès des autorités de régulations sur la qualité déplorable de son produit, pourtant considéré comme un "standard de fait" sur de nombreux systèmes.
De fait, peu d'efforts pour l'améliorer, et une agonie qui traine en longueur....

Répondre en citant Masquer
Rymix Hors ligne VIP 13608 points
Le #1896083
Magic2016 a écrit :

Ce qui est malheureux c'est que l'éditeur n'a pas de comptes à rendre auprès des autorités de régulations sur la qualité déplorable de son produit, pourtant considéré comme un "standard de fait" sur de nombreux systèmes.
De fait, peu d'efforts pour l'améliorer, et une agonie qui traine en longueur....


C'est un peu dur quand même, parce que partout tu as des failles, faut-il punir pour des erreurs ?
Je pense que ce n'est pas volontaire, et si justement on découvre des failles, c'est parce que beaucoup de monde utilise.
Après je ne sais pas si Flash traîne en longueur pour corriger les failles.
Répondre en citant Masquer
skynet Absent VIP 54768 points
Le #1896093
Magic2016 a écrit :

Ce qui est malheureux c'est que l'éditeur n'a pas de comptes à rendre auprès des autorités de régulations sur la qualité déplorable de son produit, pourtant considéré comme un "standard de fait" sur de nombreux systèmes.
De fait, peu d'efforts pour l'améliorer, et une agonie qui traine en longueur....


C'est plus difficile que ça.
Chaque dev pourrait te dire qu'écrire un code de 1000 lignes sans bugs n'est pas possible.
Ce ne sont pas des failles visibles, ce sont surtout les hackers qui tentent de prendre la main à distance sur nos machines qui recherchent ces failles. Et c'est loin d'être aussi simple.
Répondre en citant Masquer
Rymix Hors ligne VIP 13608 points
Le #1896095
skynet a écrit :

Magic2016 a écrit :

Ce qui est malheureux c'est que l'éditeur n'a pas de comptes à rendre auprès des autorités de régulations sur la qualité déplorable de son produit, pourtant considéré comme un "standard de fait" sur de nombreux systèmes.
De fait, peu d'efforts pour l'améliorer, et une agonie qui traine en longueur....


C'est plus difficile que ça.
Chaque dev pourrait te dire qu'écrire un code de 1000 lignes sans bugs n'est pas possible.
Ce ne sont pas des failles visibles, ce sont surtout les hackers qui tentent de prendre la main à distance sur nos machines qui recherchent ces failles. Et c'est loin d'être aussi simple.


Bah ouais, tu fais un strcmp au lieu d'un strncmp, bah tu as possiblement une faille de sécu.
tu utilises la fonction system() au lieu d'un exec*(), tu as possiblement une faille de sécu.
Répondre en citant Masquer
Rymix Hors ligne VIP 13608 points
Le #1896098
Voila un petit lien :
https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=2130132
Répondre en citant Masquer
Suivre les commentaires
Poster un commentaire
Anonyme