Une nouvelle faille 0-day exploitée dans Flash, Réactions à la publication du 03/02/2018

[Lionel]

Une nouvelle faille 0-day a été découverte dans Flash et est actuellement exploitée par des pirates.

Elle porte la référence CVE-2018-4877. Elle est exploitée via un fichier Excel spécialement modifié qui est envoyé par mail aux victimes. Une fois lancé, il installera sur les machines (PC) un rootkit appelé ROKRAT, qui permet aux pirates d'accéder aux machines à distance.

Le groupe de pirates responsables de cette attaque est connu pour cibler tout particulièrement la Corée du Sud. Toutefois, la faille étant maintenant publique, elle risque d'être reprise par nombre de groupes malveillants qui vont élargir le champ des victimes potentielles.

Lien vers le billet original

[charbo]

EncoreFlash !! Il vaut mieux desinstaller flash et si besoin utiliser Chrome qui a lui même un "moteur" flash. Je suppose, j'espère, que cela évite les failles.

[valery.jm]

Éviter surtout d’ouvrir des documents envoyés par mail d’utilisateurs inconnus .

[peyret]

J'ai désinstallé Flash depuis 6 mois... il y a quelques sites qui demandent Flash.... mais ils sont de moins en moins nombreux....

Et pour info : suis sur Firefox 58

[raoulito]

Ca fait plus d'un an sans flash et je vis tres bien. Dans les tres rares cas ou il le faut ( 1 fois ts les 4 mois) j'ouvre chrome comme dit plus haut

[iAPX]

Flash et faille de sécurité dans la même phrase...

[g4hd]

Plus d’un an, peut-être deux, sans Flash (et le moins possible de Google).

C'est jouable de s’en passer complètement.
Y compris pour bosser.

[Baradal]

Je n’utilise plus flash ni java depuis que macOS ne le supporte plus nativement et sans me sentir pénalisé. Au moins j’ai moins de risque de choper des saletés.

[iAPX]

En passant, on est tous encore exposé à Spectre variante 2, Intel n'ayant pas livré le patch de micro-code promis pour cette semaine.

Je le pressentais, Microsoft ayant désactivé l'ancien patch en début de semaine pour éviter des problèmes aux utilisateurs de Windows, tout ça va nous amener mi-février au moins...
8 mois que les failles ont été identifiées, un patch de micro-code prévu pour début janvier, plus d'un mois de retard pour le livrer, avec le beau fiasco du patch buggé qui faisait planter des machines entre-temps, ça ne sent pas la rose coté Intel qui après moults promesses, dont celles d'être transparent et de fournir un patch avant le 16 janvier pour 90% de ses CPU présentées depuis 2013, est d'un silence assourdissant!

Deux promesses du CEO d'Intel, une pas tenue avec des délais bien explosés, et même pour moi un doute sur la faisabilité de ce patch maintenant au vu de l'affaire, une seconde pas tenue non plus, avec 12 jours sans aucune communication d'Intel (sauf une mise à jour cachée dans une autre page pour rester discret!).

Intel doit vraiment être dans la bouse à ce point, 8 mois après la découverte du problème, sans être capable de fournir un patch efficace et fiable, et arrêtant de communiquer sur les délais d'arrivée de celui-ci, si il arrive un jour!

Au moins Adobe Shockwave Flash Player (son nom pourri!) on peut s'en débarrasser, voir le tutorial compliqué d'Adobe ici!

Ce message a été modifié par iAPX - 3 Feb 2018, 16:54.

[julo6e]

Non seulement Flash on peut s'en débarrasser, mais mon plug-in était déjà à jour pour combler la faille de cette news au moment ou je l'ai lue ce matin, ayant coché la case "Autoriser Adobe à installer les mises à jour (recommandé)"...

Certes Flash a un lourd passif en terme de failles, mais il me semble qu'Adobe a été bien réactif sur ce coup.

[LordJohnWhorfin]

Surprise, encore une faille de sécurité Flash, mais y'a encore des sites qui utilisent cette merde alors qu'Adobe a annoncé qu'ils l'abandonnaient? Moi ça fait longtemps que je n'en veux plus sur mon Mac, et depuis un an ou deux, pas un seul site ne m'a demandé Flash. On peut dire merci à Steve d'avoir amorcé le mouvement, c'est vraiment un produit que personne ne regrettera.
Pour ce qui est de l'attaque en question, si je lis correctement la brève de Lionel, elle n'attaque que Windows, ceci étant vu que la faille est publiée ce n'est qu'une question de temps pour qu'elle soit exploitée par des petits malins pour attaquer macOS. Un bon rappel qu'il est indispensable de se débarrasser de Flash.

[iAPX]

...
Un bon rappel qu'il est indispensable de se débarrasser de Flash.

+1 j'aurais titré "Flash: une faille de sécurité", ce qui peut se comprendre de deux façons

Ce message a été modifié par iAPX - 4 Feb 2018, 01:16.

[_Panta]

EncoreFlash !! Il vaut mieux desinstaller flash et si besoin utiliser Chrome qui a lui même un "moteur" flash. Je suppose, j'espère, que cela évite les failles.

Et encore Excel

[olrik]

Désinstaller Flash. Dans Safari menu Préférences onglet Avancées cocher Afficher le menu Dévelopement dans la barre des menus

Ensuite si un site demande Flash clic sur menu Développement et agent d'utilisteur et choisir iPad ou Microsoft Edge

On évite ainsi Flash et Firefox.

[titanium]

Désinstaller Flash. Dans Safari menu Préférences onglet Avancées cocher Afficher le menu Dévelopement dans la barre des menus

Ensuite si un site demande Flash clic sur menu Développement et agent d'utilisteur et choisir iPad ou Microsoft Edge

Ça ne fonctionne pas toujours malheureusement...

Par exemple ici, pour afficher un eBook interactif (catalogue de pièces moto) :
https://www.custom-chrome-europe.com/filead...C_01/index.html

Il faut absolument Faille Player pour afficher la page. ;-)

[Pixelux]

En passant, on est tous encore exposé à Spectre variante 2, Intel n'ayant pas livré le patch de micro-code promis pour cette semaine.

Je le pressentais, Microsoft ayant désactivé l'ancien patch en début de semaine pour éviter des problèmes aux utilisateurs de Windows, tout ça va nous amener mi-février au moins...
8 mois que les failles ont été identifiées, un patch de micro-code prévu pour début janvier, plus d'un mois de retard pour le livrer, avec le beau fiasco du patch buggé qui faisait planter des machines entre-temps, ça ne sent pas la rose coté Intel qui après moults promesses, dont celles d'être transparent et de fournir un patch avant le 16 janvier pour 90% de ses CPU présentées depuis 2013, est d'un silence assourdissant!

Deux promesses du CEO d'Intel, une pas tenue avec des délais bien explosés, et même pour moi un doute sur la faisabilité de ce patch maintenant au vu de l'affaire, une seconde pas tenue non plus, avec 12 jours sans aucune communication d'Intel (sauf une mise à jour cachée dans une autre page pour rester discret!).

Intel doit vraiment être dans la bouse à ce point, 8 mois après la découverte du problème, sans être capable de fournir un patch efficace et fiable, et arrêtant de communiquer sur les délais d'arrivée de celui-ci, si il arrive un jour!

Au moins Adobe Shockwave Flash Player (son nom pourri!) on peut s'en débarrasser, voir le tutorial compliqué d'Adobe ici!

On est vraiment naïf dans ça.

Je n'ai pas encore beaucoup d'éléments pour étayer ma thèse.

Il se pourrait que ce type de failles soient des failles contractuelles entre les fondeurs et certains gouvernements. Cela expliquerait pourquoi les correctifs sont si alambiqué.

Ce message a été modifié par Pixelux - 4 Feb 2018, 14:34.

[_Panta]

Ca dépends naturellement des usages, mais depuis ma dernière clean install il y a 3 mois, j'ai pas eu le besoin de le reinstaller.

[Baradal]

Sur quel Mac as-tu fait la CI ? Et dans quel but ?

[_Panta]

Sur mon MBP2016. Une mise à jour de HS avait cassé toute l'indexation de mon file system, j'ai du reinstaller.

[iAPX]

En passant, on est tous encore exposé à Spectre variante 2, Intel n'ayant pas livré le patch de micro-code promis pour cette semaine.

Je le pressentais, Microsoft ayant désactivé l'ancien patch en début de semaine pour éviter des problèmes aux utilisateurs de Windows, tout ça va nous amener mi-février au moins...
8 mois que les failles ont été identifiées, un patch de micro-code prévu pour début janvier, plus d'un mois de retard pour le livrer, avec le beau fiasco du patch buggé qui faisait planter des machines entre-temps, ça ne sent pas la rose coté Intel qui après moults promesses, dont celles d'être transparent et de fournir un patch avant le 16 janvier pour 90% de ses CPU présentées depuis 2013, est d'un silence assourdissant!

Deux promesses du CEO d'Intel, une pas tenue avec des délais bien explosés, et même pour moi un doute sur la faisabilité de ce patch maintenant au vu de l'affaire, une seconde pas tenue non plus, avec 12 jours sans aucune communication d'Intel (sauf une mise à jour cachée dans une autre page pour rester discret!).

Intel doit vraiment être dans la bouse à ce point, 8 mois après la découverte du problème, sans être capable de fournir un patch efficace et fiable, et arrêtant de communiquer sur les délais d'arrivée de celui-ci, si il arrive un jour!

Au moins Adobe Shockwave Flash Player (son nom pourri!) on peut s'en débarrasser, voir le tutorial compliqué d'Adobe ici!

On est vraiment naïf dans ça.

Je n'ai pas encore beaucoup d'éléments pour étayer ma thèse.

Il se pourrait que ce type de failles soient des failles contractuelles entre les fondeurs et certains gouvernements. Cela expliquerait pourquoi les correctifs sont si alambiqué.

Je n'irais pas dire ça pour les bugs à l'origine, que ça soit le leak du cache L1 ou celui du cache de branchement (BTB).

En revanche Intel a un historique d'avoir eu des failles majeures, pendant des années, sur des instructions non-privilégiées (accessibles à tout logiciel) ou des patterns de fonctionnement (comme là), permettant la prise de controle voir l'évasion d'une VM et la prise de controle de l'hôte. Failles pour la plupart non-bouchées, sauf à passer à une génération suivante. Ce que je viens d'ailleurs de faire pour mon Mac.

Quand au correctif lui-même, la première version buggée, le retard de la seconde mouture, ça ne me laisse pas de m'interroger.

Est-il vraiment possible de la corriger (ou loisible en gardant de bonnes performances en mode IBRS UserSpace+KernelSpace) ?
Le silence d'Intel là-dessus, après ses promesses non-tenues, ça ne me rassure absolument pas.

[g4hd]

…si un site demande Flash clic sur menu Développement et agent d'utilisteur et choisir iPad ou Microsoft Edge

Ça ne fonctionne pas toujours malheureusement...
Par exemple ici, pour afficher un eBook interactif (catalogue de pièces moto) :
https://www.custom-chrome-europe.com/filead...C_01/index.html

Il faut absolument Faille Player pour afficher la page. ;-)

C'est exact, pour utiliser ces catalogues (nombreux), pas moyen de s'en sortir autrement.
Et quand le fournisseur est contacté pour lui signaler qu'il utilise un logiciel pourri… ça se termine souvent en échanges d'insultes !!!

[Baradal]

Sur mon MBP2016. Une mise à jour de HS avait cassé toute l'indexation de mon file system, j'ai du reinstaller.

Pas cool ça.

Pas trop le bordel pour réinstaller les licences Office, Adobe, etc ?

[_Panta]

Sur mon MBP2016. Une mise à jour de HS avait cassé toute l'indexation de mon file system, j'ai du reinstaller.

Pas cool ça.

Pas trop le bordel pour réinstaller les licences Office, Adobe, etc ?

Nope, aucun souci de licences ou autres. Tu rentres tes ID Adobe et Creative Cloud te remonte tout ça proprement; ainsi que ceux acheté ou installer par l'Apple Store.

Je parlais de mon souci de mise à jour ici (7 décembre 2017):
http://forum.macbidouille.com/index.php?ac...amp;pid=4185427

[djdoxy]

Il se pourrait que ce type de failles soient des failles contractuelles entre les fondeurs et certains gouvernements. Cela expliquerait pourquoi les correctifs sont si alambiqué.

Tu as vu en quoi consistait la faille ?
Dans un processeur une instruction est découpé en plusieurs "sous instructions" qui sont exectuées les une à la suite des autres dans le "pipeline"

Si ton code c'est "si a = b alors fait ceci sinon fait cela", il faut attendre que l'instruction "est ce que a = b" sorte du pipeline pour savoir si on doit faire ceci ou cela
Pour gagner du temps, le processeur va "prédire" le résultat du si, et donc commencer à executer "ceci" (à la mettre dans le pipeline à la suite de l'instruction precedente) sans savoir si a=b ou pas.

Si a=b alors bingo, on a gagné du temps puisque ceci à déjà commencer à s'éxecuter avant que le résultat du test ne soit connu.
Mais dans le cas contraire, il faut exectuer "cela" et oublier tout les calculs fait pour "ceci".

Or les calculs fait par ceci sont stockés dans le cache, et il est possible de lire le cache...
Si "ceci" va lire une adresse mémoire interdite (celle d'une autre application à laquelle on a normalement pas acces) on peut se retrouver avec dans le cache des données auxquelles on a normalement pas accès.

Dans le cas où il faille executer "cela", alors "ceci" n'est jamais executé "pour de vrai" et donc il n'y a pas d'erreur d'acces a une zone memoire intedite.
Mais comme il l'a été "au cas ou a=b", il suffit alors d'aller lire le cache pour avoir acces à ses données.

Voilà en très gros le résumé de la faille.
C'est donc tres compliqué à corriger, car ce mécanisme de "execute ceci au cas ou le test soit vrai" est un élement clé des performances des processeurs.

[iAPX]

+1 et je rajouterais qu'en plus un logiciel, même un logiciel utilisateur, peut orienter à l'avance l'exécution de code Kernel, pour faire exécuter plutôt ceci que cela (ou l'inverse), quitte à ce que les résultats en soient écartés après, mais avec encore des traces utilisables dans le cache.

Le pire étant que sur SkyLake et suivant, ça touche même des instructions RET de retour de sous-programme (très commune) et non uniquement des tests ou des sauts indirects (techniquement RET est un saut indirect, qui pourrait s'écrire JMP (a7+) en pseudo-code 68xxx), et qu'il faut donc impérativement quelque-chose pour limiter les dégâts sur ces générations, une modification de microcode des instructions, puisque ni le fonctionnement du cache L1, ni celui du cache de branchement (BTB) ne sont modifiables étant fixés dans le métal pour toujours.
On pourrait les vider, mais avec un impact ce coup-ci totalement majeur sur les performances (l'impact est déjà majeur sur certains OS et certaines générations de CPU, comme Windows 7 avec une "ancienne" CPU, ou en serveur avec des appels nombreux au noyau Linux et du code optimisé coté userspace, comme damns les serveurs dfe jeu massivement multiplayer en-ligne).

Et tel Sœur Anne, je ne vois rien venir d'Intel, sauf un grand silence...

Le CEO d'Intel a fait des promesses, qui se sont révélées fausses, avec même du rétro-pédalage sur les CPU qui seraient patchées (90% des "présentées depuis 5ans" soit depuis janvier 2013, puis 90% des "produites depuis 4ans", maintenant on sait que ça sera uniquement à partir d'Haswell, et encore rien n'est sûr sauf que les précédentes ne le seront pas, et il n'est même plus certain que ça soit patchable, puisque 8 mois après la découverte, il n'y a pas de patch stable utilisable, ni même de date pour une arrivée éventuelle de ce patch qui ressemble à du vaporware!

La seule chose sûre c'est que le CEO d'Intel a revendu une grande part de ses actions d'Intel en décembre (24 millions de dollars USD), avant l'annonce du problème, et là ça sent clairement le délit d'initié, à cause de son accès à des informations confidentielles et l'incapacité d'Intel à combler les failles...

Tout ça ne sent pas la rose pour Intel et son CEO!

PS: y'en a deux qui ont dû partir en vacances prolongées, je ne les vois plus contredire sur le problème des CPU Intel

Ce message a été modifié par iAPX - 4 Feb 2018, 17:06.

[Pixelux]

Une conversation entre Linus Torvald et un ingénieur de Intel :

On Sun, Jan 21, 2018 at 12:28 PM, David Woodhouse <[email protected]> wrote:
> On Sun, 2018-01-21 at 11:34 -0800, Linus Torvalds wrote:
>> All of this is pure garbage.
>>
>> Is Intel really planning on making this shit architectural? Has
>> anybody talked to them and told them they are f*cking insane?
>>
>> Please, any Intel engineers here - talk to your managers.
>
> If the alternative was a two-decade product recall and giving everyone
> free CPUs, I'm not sure it was entirely insane.

You seem to have bought into the cool-aid. Please add a healthy dose
of critical thinking. Because this isn't the kind of cool-aid that
makes for a fun trip with pretty pictures. This is the kind that melts
your brain.

> Certainly it's a nasty hack, but hey — the world was on fire and in the
> end we didn't have to just turn the datacentres off and go back to goat
> farming, so it's not all bad.

It's not that it's a nasty hack. It's much worse than that.

> As a hack for existing CPUs, it's just about tolerable — as long as it
> can die entirely by the next generation.

That's part of the big problem here. The speculation control cpuid
stuff shows that Intel actually seems to plan on doing the right thing
for meltdown (the main question being _when_). Which is not a huge
surprise, since it should be easy to fix, and it's a really honking
big hole to drive through. Not doing the right thing for meltdown
would be completely unacceptable.

So the IBRS garbage implies that Intel is _not_ planning on doing the
right thing for the indirect branch speculation.

Honestly, that's completely unacceptable too.

> So the part is I think is odd is the IBRS_ALL feature, where a future
> CPU will advertise "I am able to be not broken" and then you have to
> set the IBRS bit once at boot time to *ask* it not to be broken. That
> part is weird, because it ought to have been treated like the RDCL_NO
> bit — just "you don't have to worry any more, it got better".

It's not "weird" at all. It's very much part of the whole "this is
complete garbage" issue.

The whole IBRS_ALL feature to me very clearly says "Intel is not
serious about this, we'll have a ugly hack that will be so expensive
that we don't want to enable it by default, because that would look
bad in benchmarks".

So instead they try to push the garbage down to us. And they are doing
it entirely wrong, even from a technical standpoint.

I'm sure there is some lawyer there who says "we'll have to go through
motions to protect against a lawsuit". But legal reasons do not make
for good technology, or good patches that I should apply.

> We do need the IBPB feature to complete the protection that retpoline
> gives us — it's that or rebuild all of userspace with retpoline.

BULLSHIT.

Have you _looked_ at the patches you are talking about? You should
have - several of them bear your name.

The patches do things like add the garbage MSR writes to the kernel
entry/exit points. That's insane. That says "we're trying to protect
the kernel". We already have retpoline there, with less overhead.

So somebody isn't telling the truth here. Somebody is pushing complete
garbage for unclear reasons. Sorry for having to point that out.

If this was about flushing the BTB at actual context switches between
different users, I'd believe you. But that's not at all what the
patches do.

As it is, the patches are COMPLETE AND UTTER GARBAGE.

They do literally insane things. They do things that do not make
sense. That makes all your arguments questionable and suspicious. The
patches do things that are not sane.

WHAT THE F*CK IS GOING ON?

And that's actually ignoring the much _worse_ issue, namely that the
whole hardware interface is literally mis-designed by morons.

It's mis-designed for two major reasons:

- the "the interface implies Intel will never fix it" reason.

See the difference between IBRS_ALL and RDCL_NO. One implies Intel
will fix something. The other does not.

Do you really think that is acceptable?

- the "there is no performance indicator".

The whole point of having cpuid and flags from the
microarchitecture is that we can use those to make decisions.

But since we already know that the IBRS overhead is <i>huge</i> on
existing hardware, all those hardware capability bits are just
complete and utter garbage. Nobody sane will use them, since the cost
is too damn high. So you end up having to look at "which CPU stepping
is this" anyway.

I think we need something better than this garbage.

Linus

[olrik]

Désinstaller Flash. Dans Safari menu Préférences onglet Avancées cocher Afficher le menu Dévelopement dans la barre des menus

Ensuite si un site demande Flash clic sur menu Développement et agent d'utilisteur et choisir iPad ou Microsoft Edge

Ça ne fonctionne pas toujours malheureusement...

Par exemple ici, pour afficher un eBook interactif (catalogue de pièces moto) :
https://www.custom-chrome-europe.com/filead...C_01/index.html

Il faut absolument Faille Player pour afficher la page. ;-)

En effet mais cela marche dans 98% des cas c'est déjà bien.

[marc_os]

En passant, on est tous encore exposé à Spectre variante 2, Intel n'ayant pas livré le patch de micro-code promis pour cette semaine.

Je le pressentais, Microsoft ayant désactivé l'ancien patch en début de semaine pour éviter des problèmes aux utilisateurs de Windows, tout ça va nous amener mi-février au moins...
8 mois que les failles ont été identifiées, un patch de micro-code prévu pour début janvier, plus d'un mois de retard pour le livrer, avec le beau fiasco du patch buggé qui faisait planter des machines entre-temps, ça ne sent pas la rose coté Intel qui après moults promesses, dont celles d'être transparent et de fournir un patch avant le 16 janvier pour 90% de ses CPU présentées depuis 2013, est d'un silence assourdissant!

Deux promesses du CEO d'Intel, une pas tenue avec des délais bien explosés, et même pour moi un doute sur la faisabilité de ce patch maintenant au vu de l'affaire, une seconde pas tenue non plus, avec 12 jours sans aucune communication d'Intel (sauf une mise à jour cachée dans une autre page pour rester discret!).

Intel doit vraiment être dans la bouse à ce point, 8 mois après la découverte du problème, sans être capable de fournir un patch efficace et fiable, et arrêtant de communiquer sur les délais d'arrivée de celui-ci, si il arrive un jour!

Au moins Adobe Shockwave Flash Player (son nom pourri!) on peut s'en débarrasser, voir le tutorial compliqué d'Adobe ici!

On est vraiment naïf dans ça.

Je n'ai pas encore beaucoup d'éléments pour étayer ma thèse.

Il se pourrait que ce type de failles soient des failles contractuelles entre les fondeurs et certains gouvernements. Cela expliquerait pourquoi les correctifs sont si alambiqué.

Thèse ? Tu veux dire théorie du complot !

Si on réfléchit un peu sur l'origine de ces bogues Meltdown et Spectre, on peut arriver à la conclusion qu'ils sont du type "bogue de l'an 2000". Je veux dire par là qu'ils sont les conséquences de l'optimization des processeurs qui était prioritaire face aux questions de sécurité à une époque où Internet en était à ses balbutiements. De même que le "bogue de l'an 2000" était le résultat d'optimisations sur le stockage des années fait sur 2 caractères à une époque où la mémoire de masse était bien plus limitée.

Ce message a été modifié par marc_os - 5 Feb 2018, 11:32.

[reversi]

Une nouvelle faille 0-day a été découverte dans Flash et est actuellement exploitée par des pirates.

Elle porte la référence CVE-2018-4877. Elle est exploitée via un fichier Excel spécialement modifié qui est envoyé par mail aux victimes. Une fois lancé, il installera sur les machines (PC) un rootkit appelé ROKRAT, qui permet aux pirates d'accéder aux machines à distance.

Le groupe de pirates responsables de cette attaque est connu pour cibler tout particulièrement la Corée du Sud. Toutefois, la faille étant maintenant publique, elle risque d'être reprise par nombre de groupes malveillants qui vont élargir le champ des victimes potentielles.

Lien vers le billet original

C'est pas très clair comme news.

C'est un fichier Excel modifié qui installe un RootKit et le coupable est donc Flash.

On dirait une solution d'un roman d'Agatha Christie.

[Oncle Sophocle]

Une nouvelle faille 0-day a été découverte dans Flash...

Pour résumer l'article et ses commentaires, ne serait-il pas plus rapide de dire que Flash "est" une faille ? (traduction de l'emoticon : enfoncez vous ça dans la tête ! )