Flash : une société russe trouve deux failles zero-day

[Gordon Fowler]

Flash : une société russe trouve deux failles zero-day
Et les intègre à l’un de ses outils de test d’intrusion, Mac OS également concerné

Une société spécialisée russe vient d’annoncer par la voix de son PDG qu’elle avait découvert deux failles “zero day” dans le lecteur Flash d’Adobe. Et qu’elle n’avait pas l’intention de partager ses découvertes et son expertise avec l’éditeur américain.

Intevydis va en revanche intégrer sa découverte à l’un de ses outils payant de test d’intrusion, VulnDisco.

D’après son PDG, ces vulnérabilités, actuellement sans aucun correctif donc, permettent d'exécuter du code malicieux à distance sur une machine. Le bac à sable d’un navigateur comme IE 9 et les nouvelles protections de Windows 7 (DEP/ASLR) n’y changeraient rien. Chrome et Mac OS seraient également concernés.

Ces deux vulnérabilités de Flash n’auraient toutefois pas encore été utilisées dans des attaques connues. Le temps pour Adobe de travailler sur des correctifs.

En attendant un correctif d’Adobe, le mieux reste encore de désactiver Flash dans les navigateurs (hors sites de confiance) avec, par exemple, une extension comme Flashblock.

Une autre méthode plus radicale, sous Chrome, consiste à taper chrome://settings/content dans la barre de navigation, de bloquer tous les plug-in, puis de définir manuellement des exceptions pour certains sites de confiance. Comme Developpez.com et Developpez.net par exemple.

Source : Annonce de la faille zero day par Intevydis

Et vous ?

Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?

[mala92]

Citation:

Envoyé par Gordon Fowler

Et vous ?

Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?

Pas normal, mais bon, ils ne font peut-être pas ça à toutes les sociétés. C'est peut-être lié à la politique du "tout fermé" menée par Adobe (et Microsoft) entre autre.

[Hellwing]

Je trouve que c'est un comportement de gamin de révéler qu'on connait des failles, sans aider Adobe à la corriger. Vous savez, du genre "J'ai trouvé des trucs et j'te le dirai pas parce que t'es pas mon copain ! Tralalèreuh !"

On parle de sécurité, bon dieu, c'est pas une affaire à prendre à la légère, business ou pas !

[tontonnux]

Au final, on a quoi comme preuve qu'ils ont bien découvert quelque chose et que ce n'est pas d'une tentative d'escroquerie du genre : "nous sommes les seules à pouvoir vous protéger de la menace fantôme" ?

[katcha95]

Trop d'accord avec tontonnux, c'est peut-être aussi un gros buzz autour de leur produit ...

[MonsieurSmith]

Ça ressemble à une tentative de racket, oui.

[Uther]

Oui et non. La méthode est certes à la limite du racket, mais ce n'est pas non plus normal qu'Adobe néglige la sécurité et que des tiers s'en s'occupent à sa place.

Le système de prime de Chrome et Firefox à le mérite d'être équitable pour les deux parties.

[nextdev]

Ou bien ces russes sont de mèche avec adobe pour enfoncer un peu plus flash...

[Hellwing]

Citation:

Envoyé par Uther

Oui et non. La méthode est certes à la limite du racket, mais ce n'est pas non plus normal qu'Adobe néglige la sécurité et que des tiers s'en s'occupent à sa place.

Le système de prime de Chrome et Firefox à le mérite d'être équitable pour les deux parties.

Ce n'est pas non plus normal de ne pas fournir les informations nécessaires pour colmater les failles au plus vite.

C'est sûr que si Adobe doit partir de l'information "Il existe deux failles zero-day dans le lecteur Flash", ils ne sont pas près de les corriger.

[Uther]

Je n'ai pas dit que la méthode de la société était la bonne non plus, loin de là. Mais Adobe a tant négligé la sécurité de produits pourtant très exposés comme Flash ou Reader, que ce n'est pas non plus normal que des sociétés tierces fassent son travail bénévolement.

[Hellwing]

Citation:

Envoyé par Uther

Je n'ai pas dit que la méthode de la société était la bonne non plus, loin de là. Mais Adobe a tant négligé la sécurité de produits pourtant très exposés comme Flash ou Reader, que ce n'est pas non plus normal que des sociétés tierces fassent son travail bénévolement.

Ben il s'agit d'une société spécialisée dans la sécurité. Alors forcément en proposant des outils de test d'intrusion, elle fait un peu le boulot de toutes les entreprises qui ont des produits ayant des failles de sécurité.