Adobe patche une faille 0 day dans Flash, Réactions à la publication du 24/06/2015

[Lionel]

Une mise à jour Flash vous est actuellement proposée. Il vous est conseillé de la faire au plus tôt étant donné qu'elle comble une faille 0 day récemment découverte.

Comme le rapporte FireEye, la faille est déjà exploitée via une campagne de Phishing et vise à dérober des informations confidentielles dans de grands groupes industriels. Les pirates qui l'exploitent sont basés en Chine.

Lien vers le billet original

[WipeOut]

Une faille de plus, bravo Adobe.

[Rorqual]

Oui mais patchée tout de suite, contrairement à une autre entreprise américaine en cinq lettres commençanbt par A et finissant par E qui s'assoit sur ce genre de problème.

[Albatros blanc]

Oui mais patchée tout de suite, contrairement à une autre entreprise américaine en cinq lettres commençanbt par A et finissant par E qui s'assoit sur ce genre de problème.

Certes - mais lorsqu'on regarde le nombre de patch nécessaire pour Flash, cela reste impressionnant et inquiétant…

[hugh]

on la fait où cette MAJ … un lien !!

[kil]

on la fait où cette MAJ … un lien !!

ben... par préférences systèmes, bouton "Flash Player" peut-être ?

[greens]

Ben voyons, une faille Flash... Pour changer...

Il faudrait une vraie alternative à Flash player pour les SWF qui fonctionne uniquement comme lecteur d'animation sur le web et qui reste cantonnés aux limites du Apple App Sandbox, même payante! Il y a déjà eu des tentative comme Gnash ou lightspark, mais je n'ai rien trouvé de vraiment convaincant... Une idée, un lien?


Adobe n'a toujours pas compris qu'il faudrait réécrire complètement le code et repartir entièrement de zéro... même si cela implique de rendre obsolètes de vieilles animations ou de vieux programmes...

Une fois que tous les grands acteurs du web auront définitivement décidé de ne plus utiliser cette technologie, Adobe pourra supprimer définitivement Flash de son catalogue de produit.

Ce message a été modifié par greens - 24 Jun 2015, 09:12.

[Ptimouss]

on la fait où cette MAJ … un lien !!

ben... par préférences systèmes, bouton "Flash Player" peut-être ?

Bah moi je n'ai aucune maj proposée, et le site Adobe donne la même version que celle que j'ai: 18.0.0.194.

[scoch]

Une fois que tous les grands acteurs du web auront définitivement décidé de ne plus utiliser cette technologie, Adobe pourra supprimer définitivement Flash de son catalogue de produit.

Ce qui m'étonne c'est que certains sites web proposent certains contenus (vidéo, pub) en Flash aux navigateurs qui disposent de Flash Player (Chrome/Chromium/IE) mais sont capables de proposer ce même contenu en HTML5 aux navigateurs qui n'ont pas ce greffon d'installé (dans mon cas, tous les autres navigateurs).
De son côté, Adobe ne pousse plus du tout le format swf (Shockwave Flash) mais intègre à son logiciel Flash Pro des fonctionnalités de publication en HTML5 (DOM/JavaScript, Canvas, webGL).

[solex46]

on la fait où cette MAJ … un lien !!

ben... par préférences systèmes, bouton "Flash Player" peut-être ?

Bah moi je n'ai aucune maj proposée, et le site Adobe donne la même version que celle que j'ai: 18.0.0.194.

C'est bien la dernière mise à jour.
C'est probablement parce que tu as l'option "Autoriser Adobe à installer les mises à jour" activée et qu'il l'a déjà faite dans ton dos.

[Xdave]

Oui mais patchée tout de suite, contrairement à une autre entreprise américaine en cinq lettres commençanbt par A et finissant par E qui s'assoit sur ce genre de problème.

"la faille est déjà exploitée via une campagne de Phishing et vise à dérober des informations confidentielles dans de grands groupes industriels. Les pirates qui l'exploitent sont basés en Chine."

[scoch]

Oui mais patchée tout de suite, contrairement à une autre entreprise américaine en cinq lettres commençanbt par A et finissant par E qui s'assoit sur ce genre de problème.

"la faille est déjà exploitée via une campagne de Phishing et vise à dérober des informations confidentielles dans de grands groupes industriels. Les pirates qui l'exploitent sont basés en Chine."

La faille a été découverte en juin selon FireEye et patchée en juin par Adobe. C'est une faille qui a été exploitée par des cybercriminels avant d'être découverte par des personnes plus vertueuses.
La faille XARA qui touche OS X, personne ne peut dire si elle est exploitée. Ce qu'on sait c'est que des apps malicieuses pouvaient être validées par Apple, depuis un bail.

[kil]

flash ne sert à 95% du temps que pour afficher les publicités, et d'ailleurs de façon de plus en plus intrusives et envahissantes...

à quand un site macbidouille 100% débarrassé de ce cheval de Troie publicitaire ?

[scoch]

à quand un site macbidouille 100% débarrassé de ce cheval de Troie publicitaire ?

C'est déjà le cas pour ceux qui n'utilisent pas un navigateur équipé de Flash Player

[marc_os]

[...]
Comme le rapporte FireEye, la faille est déjà exploitée via une campagne de Phishing et vise à dérober des informations confidentielles dans de grands groupes industriels. Les pirates qui l'exploitent sont basés en Chine.

Oui mais patchée tout de suite, contrairement à une autre entreprise américaine en cinq lettres commençanbt par A et finissant par E qui s'assoit sur ce genre de problème.

Rorqual , il serait peut-être temps pour toi d'apprendre à lire ?

Ce message a été modifié par marc_os - 24 Jun 2015, 13:07.

[Lionel]

[...]
Comme le rapporte FireEye, la faille est déjà exploitée via une campagne de Phishing et vise à dérober des informations confidentielles dans de grands groupes industriels. Les pirates qui l'exploitent sont basés en Chine.

Oui mais patchée tout de suite, contrairement à une autre entreprise américaine en cinq lettres commençanbt par A et finissant par E qui s'assoit sur ce genre de problème.

Rorqual , il serait peut-être temps pour toi d'apprendre à lire ?

Il a bien lu et bien répondu. Faille 0 Day signifie qu'elle a été exploitée avant d'être portée à la connaissance de l'éditeur. Dans ce cas, il se magne de faire un patch et Adobe l'a fait.
La faille XARA n'était pas 0 day car pas exploitée avant sa découverte par Apple à la fin 2014.

[iAPX]

Adobe Flash/Shockwave est un très bon vecteur pour les groupes de hackers, avec de nombreuses attaques réussies grace à lui depuis des années, notamment la RSA et ses millions de token de sécurité a regénérer. C'est vrai qu'Adobe n'arrive pas à maitriser la sécurité de son produit, je soupçonne que les moyens soient trop limité et l'architecture vraiment très mauvaise...

Ce qui me surprend le plus c'est que des gens utilisent encore Flash/Shockwave aujourd'hui, notamment dans des environnements professionnels. À la limite c'est plutot amusant!

[scoch]

Google Chrome, à jour, intègre bien la dernière version de Flash Player. Par contre, Chromium intègre la version 15.0.0.223, ça craint ! Heureusement, il est possible de le désactiver en allant à cette adresse : chrome://plugins/

[marc_os]

[...]
Comme le rapporte FireEye, la faille est déjà exploitée via une campagne de Phishing et vise à dérober des informations confidentielles dans de grands groupes industriels. Les pirates qui l'exploitent sont basés en Chine.

Oui mais patchée tout de suite, contrairement à une autre entreprise américaine en cinq lettres commençanbt par A et finissant par E qui s'assoit sur ce genre de problème.

Rorqual , il serait peut-être temps pour toi d'apprendre à lire ?

Il a bien lu et bien répondu. Faille 0 Day signifie qu'elle a été exploitée avant d'être portée à la connaissance de l'éditeur. Dans ce cas, il se magne de faire un patch et Adobe l'a fait.
La faille XARA n'était pas 0 day car pas exploitée avant sa découverte par Apple à la fin 2014.

Vraiment ?
Pourtant, il m'a bien semblé lire ici même un article intitulé :

Une nouvelle faille 0 Day concernant iOS et OS X

Où il est question d'une faille qui n'a jamais été exploitée autrement que par les preuves de concept de chercheurs.
Y a comme un truc qui m'échappe...

Edit : Voilà. Deux poids, deux mesures. C'est ça.

Edit 2 : Wikipedia, la nouvelle bible, dit pourtant :

Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est une vulnérabilité d'un produit qui est soit inconnue du fournisseur du produit, soit qui ne dispose pas de correctif approprié. Une exploitation 0 day est susceptible d'engendrer la création d'un ver car, par définition, la grande majorité des utilisateurs ne sera pas protégée contre cette faille jusqu'à ce qu'elle soit découverte et corrigée.

Cherchez l'erreur.

Ce message a été modifié par marc_os - 24 Jun 2015, 14:22.

[scoch]

Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est une vulnérabilité d'un produit qui est soit inconnue du fournisseur du produit, soit qui ne dispose pas de correctif approprié.

XARA est donc une faille zero-day puisqu'a priori Apple n'en avait pas connaissance et n'a pas encore fourni de correctif.

Sans chercher à polémiquer, comment peut-on être certain que la faille n'a pas été exploitée ? Parce que personne n'a signalé de problème ?

[iAPX]

Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est une vulnérabilité d'un produit qui est soit inconnue du fournisseur du produit, soit qui ne dispose pas de correctif approprié.

XARA est donc une faille zero-day puisqu'a priori Apple n'en avait pas connaissance et n'a pas encore fourni de correctif.

Sans chercher à polémiquer, comment peut-on être certain que la faille n'a pas été exploitée ? Parce que personne n'a signalé de problème ?

+1 @scoch, c'est un vrai problème puisque l'on rapporte souvent que "la faille n'a pas été exploité", sans aucun fondement. Certaines failles 0-day sont exploité localement pour attaquer un marché spécifique, ou des entreprises spécifiques, et on a des rapports de cela que plusieurs années après, comme pour la dissémination des vers conçus par la NSA et à destination du moyen-orient, où la remontée d'information aux entreprises spécialisée ne s'est fait qu'à-posteriori, ne permettant même pas de connaître la cible initiale de façon précise.

[Lionel]

Tu as raison Marc_OS. Il me serait difficile de dire autre chose
Je parle bien entendu des terminologies utilisées.

[SartMatt]

Où il est question d'une faille qui n'a jamais été exploitée autrement que par les preuves de concept de chercheurs.

Qu'elle soit exploité par des chercheurs ou par des malveillants, elle est exploitée.

[Guest_Matyu_*]

Une faille critique de plus, comme d'hab quoi. Combien depuis le début de cette année?
J'ai récemment réinstallé mon système et j'ai fait le choix de ne pas réinstaller certaines choses, Flash en fait partie.
Je n’utilise donc plus Flash, je n’utilise pas Flash et je ne me sens pas du tout pénalisé pour quoi que ce soit dans mes usages.
Tout est ok.

Ce message a été modifié par Matyu - 25 Jun 2015, 02:48.

[eienn]

Est-ce qu'on est plus en sécurité si on utilise Chrome? Un hacker ne serait-il pas prit à l'intérieur du sandbox de Chrome?

[kil]

je viens de désinstaller flash (avec l'outil téléchargé sur le site d'adobe), ainsi que chrome et firefox pour ne garder que Safari...
bon, c'est juste pour tester.

Mais déjà, c'est fou comme Safari et même le système (bizarre non ?) est beaucoup, mais alors beaucoup ! plus véloce...
(j'ai un macbook air 2)

Ce message a été modifié par kil - 25 Jun 2015, 10:22.

[Benzebut]

je viens de désinstaller flash (avec l'outil téléchargé sur le site d'adobe), ainsi que chrome et firefox pour ne garder que Safari...
bon, c'est juste pour tester.

Mais déjà, c'est fou comme Safari et même le système (bizarre non ?) est beaucoup, mais alors beaucoup ! plus véloce...
(j'ai un macbook air 2)

Bonjour,

J'ai pris la même mesure radicale ce Noel, également pour tester sur le Mac de la signature. Bien depuis, pas eu de contraintes pour surfer sur le Net et effectivement, plus de fuites de mémoire non expliquée ...

[Lennart]

Donc si j'ai bien compris pour plus de sécurité, il faut désinstaller Flash player, OSX et iOS