Adobe patche une faille 0-day dans Flash, Réactions à la publication du 17/10/2017

[Lionel]

Adobe a publié une mise à jour de Flash Player qui comble une faille de sécurité dite 0-Day.
La faille en question a déjà été exploitée par des pirates le 10 octobre dernier, moment de sa découverte par Kaspersky.
Il est donc important de mettre à jour au plus tôt la version installée sur vos machines.

Lien vers le billet original

[1010]

Apple publie une mise à jour de Flash ?
Adobe plutôt ?

[hellomorld]

Une de plus, et toujours pas de mise à jour vraiment automatique quelque soit la version…

[ritchie]

Ouais, je crois que c'est Adobe, Apple en a vraiment rien à branler de Flash !

Lionel était pas réveillé ou trop fatigué ...

++

R.

[Licorne31]

Ce qui serait étonnant, ça serait plutôt de découvrir qu'il n'y a plus de failles dans Flash...

Franchement, comment peut-on encore utiliser cette passoire?
En ce qui me concerne, ça fait des années que j'ai banni ce Plug-In de mes machines, et je ne m'en porte pas plus mal.

[Lionel]

Ce qui serait étonnant, ça serait plutôt de découvrir qu'il n'y a plus de failles dans Flash...

Franchement, comment peut-on encore utiliser cette passoire?
En ce qui me concerne, ça fait des années que j'ai banni ce Plug-In de mes machines, et je ne m'en porte pas plus mal.

Il faut arrêter. Flash est une passoire à cause de ses fonctions même qui exigent d'avoir une multitude de portes qui s'ouvrent et se ferme avec du code distant à exécuter en local. Tu ne veux plus de faille de ce genre, cesse d'interagir avec l'extérieur.

[Jack the best]

Il serait bon de savoir de quel n° de version il s'agit : en ce moment le site d'Adobe propose au téléchargement la version n° 27.0.0.130.
Est-ce la bonne ?
Par ailleurs, sur le site d'Adobe on propose ça :
[attachment=55993:Adobe.jpg]

Est-ce le même ?

[Eagle Kiss]

Moi je passe par les préférences système pour mettre à jour Flash. Ça me paraît plus sûr.

[Jack the best]

Je viens de la faire par les préférences système.

Voilà ce que j'obtiens :[attachment=55997:_Capture...11.22.49.jpg]
Je précise que je n'autorise Flash qu'au coup par coup.
Mais faut-il installer le module PPAPI ?

Ce message a été modifié par Jack the best - 17 Oct 2017, 10:24.

[Eagle Kiss]

Moi aussi je l'autorise qu'au coup par coup.
J'ai installé les deux.

[iAPX]

Ce qui serait étonnant, ça serait plutôt de découvrir qu'il n'y a plus de failles dans Flash...

Franchement, comment peut-on encore utiliser cette passoire?
En ce qui me concerne, ça fait des années que j'ai banni ce Plug-In de mes machines, et je ne m'en porte pas plus mal.

Il faut arrêter. Flash est une passoire à cause de ses fonctions même qui exigent d'avoir une multitude de portes qui s'ouvrent et se ferme avec du code distant à exécuter en local. Tu ne veux plus de faille de ce genre, cesse d'interagir avec l'extérieur.

Pas uniquement à cause de cela, la base de code semble tout simplement "pourrie" et Adobe n'a pas les moyens de tout ré-écrire, voir si ça se trouve il y a des parts de Flash qu'Adobe ne possède plus en tant que sources n langage de haut-niveau et portable (c'est déjà arrivé à Microsoft pour certaines parties de ... Word!).

Il y a eu des progrès, on a plus droit à une mise à jour par semaine, à chaque fois pour une faille 0 day, permettant l'exécution de code local, et déjà activement exploitée par des hackers un peu partout, comme pour cette nouvelle mise-à-jour d'ailleurs, mais...

Fondamentalement, HTML 5 va tuer Flash, je pense que le design logiciel originel était vraiment mauvais, inadapté par rapport à ses ambitions, qui sont à la fois de réaliser une surcouche d'OS d'un coté, une surcouche d'interface graphique de l'autre (et probablement initialement trop mappé sur les anciennes API de Windows), un moteur d'exécution de haut-niveau supportant différents modèles de description, une surcouche au-dessus des navigateurs (mais pas nécssairement!), de la gestion de contenu riche, et finalement les connexions à Internet, dans les deux sens.

Une sorte de Nexus de sous-ensemble stratégiques pour la sécurité, lui nécessitant (cerise sur le gateau) des droits d'administration et donc ajoutant une belle porte d'entrée pour les hacker, un peu similaire à avoir un néon clignotant "entrée libre" et des portes coulissants automatiques, à l'arrière d'un coffre-fort qu'on aimerait sécuriser

Vouloir tout faire, pour plaire à tous, et le réussir en partie il ne faut pas se leurrer car Flash a permis pendant ds années des choses impossibles à réaliser autrement pour le web ou même les CD-ROM, c'est ce qui a tué Flash in-fine, à mon point-de-vue.

Ce message a été modifié par iAPX - 17 Oct 2017, 12:29.

[marlouin]

Hmm ça serait l'occase de voir si je peux enfin totalement me passer de flash. La dernière fois il y avait encore quelques irreductibles flasheurs qui m'en empêchait. Adobe elle même va (enfin) arrêter flash (en 2020).

[castor74]

Mais faut-il installer le module PPAPI ?

Je n'ai jamais eu de réponse à ce sujet, du coup je l'ai mis aussi.

[baron]

Je viens de la faire par les préférences système.

Voilà ce que j'obtiens :[attachment=55997:_Capture...11.22.49.jpg]
[…]
Mais faut-il installer le module PPAPI ?

La version 27.0.0.170 est bien la dernière en date.

L'installation du module PPAPI n'est utile que pour ceux qui utilisent des navigateurs basés sur Opera et Chromium (Chrome l'utilise aussi mais comme le module est intégré, les mises à jour se font directement dans le navigateur, sans utiliser de module externe).

Pour Safari et Firefox, c'est le module NPAPI qui est utilisé.

[fudo]

Je pensais que Flash était abandonné par les webmasters et qu'on le trouvait de moins en moins.
Non seulement c'est une passoire mais en plus c'est une merde sans nom qui monopolisent les ressources CPU et donc l'autonomie.

[zero]

Une de plus, et toujours pas de mise à jour vraiment automatique quelque soit la version…

Qui va s'en plaindre ?

Que l'on soit prévenu lors d'une mise à jour et que ce soit bien visible sans nous gêner pour autant, c'est très très bien mais qu'elles soient forcées automatiquement, ça non !

[peyret]

Hmm ça serait l'occase de voir si je peux enfin totalement me passer de flash. La dernière fois il y avait encore quelques irreductibles flasheurs qui m'en empêchait. Adobe elle même va (enfin) arrêter flash (en 2020).

`
Je l'ai définitivement supprimé sur mon iMac.... il y a 6 mois
Il y quelques vidéos sur quelques sites qui ne sont pas compatible, avec une demande d'installer Flash....
Je résiste toujours.... à ne pas l'installer....
Tenons bon

[No6]

En juillet dernier Adobe à annoncé la fin de Flash pour 2020.
En attendant toute évolution de Flash est quasi stoppé, et perso je doute qu'ils s'affolent vraiment pour faire des mises à jours de sécurité.

Déjà qu'à une époque avait décidé de ne faire les mises à jours que tous les six mois, on peut dire qu'ils ont mis du temps à comprendre le concept de la sécurité en informatique, et on à plutôt l'impression qu'il y a encore des lacunes dans leur intelligence de ces principes.

Perso je trouve que 2020 c'est encore trop tard, c'est un comportement de vampire qui préfère attendre que ces victimes soient vraiment exsangue avant d’arrêter de sucer leur sang.

Au fait, il sont ou aujourd'hui ceux qui prétendaient qu Flash c'était génial et qu'Apple n’aurait jamais du l'exclure de iOS ????

http://macbidouille.com/news/2017/07/26/ad...verence-en-2020

Ce message a été modifié par No6 - 17 Oct 2017, 14:43.

[ziggyspider]

Une de plus, et toujours pas de mise à jour vraiment automatique quelque soit la version…

Qui va s'en plaindre ?

Que l'on soit prévenu lors d'une mise à jour et que ce soit bien visible sans nous gêner pour autant, c'est très très bien mais qu'elles soient forcées automatiquement, ça non !

Dans les prefs de flash tu as le choix : soit c'est automatique et complètement transparent, soit tu es prévenu et l'installe manuellement. Il y a juste un bouton radio à sélectionner !

[No6]

Une de plus, et toujours pas de mise à jour vraiment automatique quelque soit la version…

Beurk (les mises à jours automatiques)
genre je suis en train de bouffer de la cpu (pour une photo, une maj de DB, etc...) et boum tout s’arrête pour lancer une mise à jour qui impose de rebooter le système....

JE NE COMPREND PAS POURQUOI LES OS N'UTILISENT PAS LE SYSTÈME PAR DÉPÔT COMME SUR LINUX !

[linus]

Ce qui serait étonnant, ça serait plutôt de découvrir qu'il n'y a plus de failles dans Flash...

Franchement, comment peut-on encore utiliser cette passoire?
En ce qui me concerne, ça fait des années que j'ai banni ce Plug-In de mes machines, et je ne m'en porte pas plus mal.

Il faut arrêter. Flash est une passoire à cause de ses fonctions même qui exigent d'avoir une multitude de portes qui s'ouvrent et se ferme avec du code distant à exécuter en local. Tu ne veux plus de faille de ce genre, cesse d'interagir avec l'extérieur.

Exactement !
HTML5/JavaScript ne fait pas tout ce que fait Flash, webGL ne fait pas tout ce que fait OpenGL et, à chaque fois il faut tout redévelopper. C’est un grosse perte de temps et d’argent.

Hmm ça serait l'occase de voir si je peux enfin totalement me passer de flash. La dernière fois il y avait encore quelques irreductibles flasheurs qui m'en empêchait. Adobe elle même va (enfin) arrêter flash (en 2020).

`
Je l'ai définitivement supprimé sur mon iMac.... il y a 6 mois
Il y quelques vidéos sur quelques sites qui ne sont pas compatible, avec une demande d'installer Flash....
Je résiste toujours.... à ne pas l'installer....
Tenons bon

Les vidéos c’est une toute petite partie de ce que fait Flash, la seule pour laquelle il existe des convertisseurs permettant de s’en passer sans trop de difficulté.

[iAPX]

Ça tombe finalement très bien, ça occulte totalement les augmentations de prix d'adobe sur leurs produits "cloud"' par abonnement mensuel/annuel, comme LightRoom devant LightRoom "Classic" CC avec prix multiplié par plus de 3, et annonçant avec ce "classic" la fin du produit à moyen terme, avant 2025, pour les photographes, pourtant coincés par les formats propriétaires, les empêchant de migrer rapidement et simplement.

Un logiciel en abonnement qui triple de prix, du jour au lendemain, sans autre possibilité que de payer pour ceux qui se sont lancés là-dedans (heureusement pas moi avec une licence perpétuelle encore, mais qui coince à l'upgrade vers macOS 10.13!!!), qu'en sera-t-il de l'avenir?!?

[castor74]

Ça tombe finalement très bien, ça occulte totalement les augmentations de prix d'adobe sur leurs produits "cloud"' par abonnement mensuel/annuel, comme LightRoom devant LightRoom "Classic" CC avec prix multiplié par plus de 3, et annonçant avec ce "classic" la fin du produit à moyen terme, avant 2025, pour les photographes, pourtant coincés par les formats propriétaires, les empêchant de migrer rapidement et simplement.

Un logiciel en abonnement qui triple de prix, du jour au lendemain, sans autre possibilité que de payer pour ceux qui se sont lancés là-dedans (heureusement pas moi avec une licence perpétuelle encore, mais qui coince à l'upgrade vers macOS 10.13!!!), qu'en sera-t-il de l'avenir?!?

Le but est de tenir le client prisonnier, bien entendu... Je hais cette politique du cloud de la part d'Adobe, qui ne permet même pas de pouvoir «faire son marché» application par application. C'est ignorer complètement les usages particuliers des utilisateurs, qui peuvent avoir besoin de Photoshop et Dreamweaver et se foutre complètement d'Illustrator.