IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Flash Player, Java Runtime et Vulnérabilités : le trio qui fait parler de lui en ce début d’année 2015


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    1 021
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 021
    Points : 24 998
    Points
    24 998
    Par défaut Flash Player, Java Runtime et Vulnérabilités : le trio qui fait parler de lui en ce début d’année 2015
    Flash Player, Java Runtime et Vulnérabilités : le trio qui fait parler de lui en ce début d’année 2015,
    pour le grand désarroi des utilisateurs

    Les plug-ins Flash Player et Java ont connu leurs jours sombres en ce début d’année 2015. En effet, ils ont été frappés par plusieurs vulnérabilités découvertes et exploitées dans le cas de Flash par des malwares. Revenons sur les faits.

    Le 20 janvier 2015, le concepteur de solutions de sécurité Trendmicro a détecté une vulnérabilité de type zero day dans le plug-in Flash. Elle a été référencée chez Adobe sous le numéro CVE-2015-0310 et affecte différentes versions installées sous Windows. Cette faille permettait d’exécuter arbitrairement du code malicieux afin de corrompre la mémoire du système et de l’infecter. Un patch a été édité depuis le 22 janvier.

    Pour rappel, une vulnérabilité zero day est une faille n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif.

    Après la détection de cette première faille, deux jours seulement ont suffi pour qu’une seconde vulnérabilité de type zero day voie le jour. Cette fois, elle a été référencée par Adobe sous le numéro CVE-2015-0311. Elle affectait toutes les plateformes à savoir Windows, Mac, Linux et permettait à un malware de s’exécuter ou de télécharger des fichiers infectés pour s’exécuter sur la plateforme. Quelques jours après cette découverte c’est-à-dire le 24 janvier, Adobe a sorti progressivement des correctifs.

    Il faut souligner que ces deux failles ont été exploitées par le malware Angler qui utilisait un kit d’exploitation pour infecter les systèmes.Et comme le dit l’adage, jamais deux sans trois.

    Le 02 février dernier, une troisième faille a été à nouveau interceptée. Cette fois encore, elle était de type zero day et touchait les systèmes en redirigeant les pages web vers des liens infectés selon les dires de Trendmicro qui soupçonnait de prime abord Angler d’être à la base de cette infection même si d’autres sites prétendent le contraire. En tout état de cause, cette faille a été patchée depuis le 04 février par Adobe.

    Flash n’a pas été le seul plug-in à faire les frais des failles à foison. Java également a dû sortir en janvier des correctifs pour dix-neuf failles dont quatorze permettaient à l’attaquant d’exécuter à distance du code sans authentification.

    Comme on peut le constater, les plug-ins débutent l’année 2015 avec plusieurs failles importantes. Nous espérons que cela permettra aux entreprises d’être plus regardantes sur l’aspect sécurité de leur produit. En attendant, il serait avantageux de ne pas activer automatiquement leur exécution pour réduire le risque d’infection.


    Source : Adobe Blog, Oracle


    Et vous ?

    Que pensez-vous de toutes ces failles dans ces plug-ins ?
    Que comptez-vous faire pour les éviter?
    Avez-vous une solution à proposer ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté Avatar de nchal
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2012
    Messages
    512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2012
    Messages : 512
    Points : 1 639
    Points
    1 639
    Par défaut
    Des failles sur Flash Player et Java... rien de nouveau sous le soleil
    Si la réponse vous convient, un petit ça encourage.
    Avant tout nouveau post, pensez à : la FAQ, Google et la fonction Recherche
    Si vous devez poster, pensez à: Ecrire en français, la balise [CODE] (#) et surtout

  3. #3
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 248
    Points
    2 248
    Par défaut
    Pour Java, en fait, la nouvelle, c'est la publication de correctifs, en fait. Je ne vois pas ça comme une mauvaise nouvelle.

  4. #4
    Membre expérimenté Avatar de nchal
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2012
    Messages
    512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2012
    Messages : 512
    Points : 1 639
    Points
    1 639
    Par défaut
    Je veux dire que ça fait des années que Flash Player et Java sont la cible d'attaque. Et que donc, la publication de fix, bah ça change pas vraiment de d'habitude...
    Si la réponse vous convient, un petit ça encourage.
    Avant tout nouveau post, pensez à : la FAQ, Google et la fonction Recherche
    Si vous devez poster, pensez à: Ecrire en français, la balise [CODE] (#) et surtout

  5. #5
    Membre habitué
    Homme Profil pro
    Développeur Java
    Inscrit en
    décembre 2012
    Messages
    31
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2012
    Messages : 31
    Points : 151
    Points
    151
    Par défaut
    Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .

  6. #6
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 248
    Points
    2 248
    Par défaut
    Citation Envoyé par amine.hirri Voir le message
    Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .
    D'une manière générale, la publication de corrections est une bonne nouvelle. Et là, l'article cherche à les présenter comme un signe de mauvaise qualité du logiciel. Mais pas pour Microsoft ou Apple, bizarrement.

    Après, des failles effectivement exploitées, c'est une mauvaise nouvelle.

  7. #7
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 615
    Points : 2 820
    Points
    2 820
    Par défaut
    Citation Envoyé par amine.hirri Voir le message
    Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .
    Pour les patch tuesday je vois pourtant régulièrement des news sur developpez qui expliquent (succinctement) les failles corrigés. Après, est-ce que d'autres corrections passent en douce je n'en sais rien.

  8. #8
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 038
    Points
    1 038
    Billets dans le blog
    9
    Par défaut
    Les plug-ins Flash Player et Java

    Heureusement que ces technos sont voué a disparaître, parce qu’elles sont quand même très contraignante, j'ai du refaire l'intranet d'une entreprise récemment, j'ai virer toutes leurs animations en flash et enlever 50% des applets java par du HTML5, et installer IE10 sur leurs postes (tous sous Windows7).
    Bizarrement leurs intranet n'a jamais été aussi agréable a utilisé, (a facile a maintenir pour leur admin system)

  9. #9
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 429
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 429
    Points : 5 708
    Points
    5 708
    Par défaut
    Oui enfin si tu refais un intranet fait en 98
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  10. #10
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 038
    Points
    1 038
    Billets dans le blog
    9
    Par défaut
    Oui enfin si tu refais un intranet fait en 98
    non 2008

    Tu m'explique ou on utilise encoire des applets java en dehors des intranet ? a part 2/3 sites des constructeurs (AMD, Nvidia...) pour détecter ta config je vois pas.

  11. #11
    Membre averti

    Profil pro
    Inscrit en
    octobre 2006
    Messages
    67
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : octobre 2006
    Messages : 67
    Points : 406
    Points
    406
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Bizarrement leurs intranet n'a jamais été aussi agréable a utilisé, (a facile a maintenir pour leur admin system)
    Dans cet article, il est question de failles de sécurité. Et dans ce domaine, HTML5 et son lot de javascript peut encore nous réserver bien des surprises...

  12. #12
    Membre actif Avatar de polkduran
    Profil pro
    Consultant informatique
    Inscrit en
    décembre 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2009
    Messages : 154
    Points : 284
    Points
    284
    Par défaut
    ça existe toujours Flash?

Discussions similaires

  1. [Batch] Besoin d'aide batch Adobe Flash Player, Adobe Reader XI et Java
    Par sakisay dans le forum Scripts/Batch
    Réponses: 0
    Dernier message: 29/03/2013, 10h48
  2. Réponses: 7
    Dernier message: 21/12/2010, 13h17
  3. flash & applet java
    Par subzero82 dans le forum Flash
    Réponses: 3
    Dernier message: 23/01/2005, 17h04
  4. [PLAYER] Désinstaller flash player 7
    Par Olivier Delmotte dans le forum Flash
    Réponses: 10
    Dernier message: 02/12/2004, 18h24
  5. [FLASH MX2004] Détecter le flash player
    Par Shruff dans le forum Flash
    Réponses: 2
    Dernier message: 17/11/2004, 22h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo