Discussion :

[Olivier Famien]

Flash Player, Java Runtime et Vulnérabilités : le trio qui fait parler de lui en ce début d’année 2015,
pour le grand désarroi des utilisateurs

Les plug-ins Flash Player et Java ont connu leurs jours sombres en ce début d’année 2015. En effet, ils ont été frappés par plusieurs vulnérabilités découvertes et exploitées dans le cas de Flash par des malwares. Revenons sur les faits.

Le 20 janvier 2015, le concepteur de solutions de sécurité Trendmicro a détecté une vulnérabilité de type zero day dans le plug-in Flash. Elle a été référencée chez Adobe sous le numéro CVE-2015-0310 et affecte différentes versions installées sous Windows. Cette faille permettait d’exécuter arbitrairement du code malicieux afin de corrompre la mémoire du système et de l’infecter. Un patch a été édité depuis le 22 janvier.

Pour rappel, une vulnérabilité zero day est une faille n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif.

Après la détection de cette première faille, deux jours seulement ont suffi pour qu’une seconde vulnérabilité de type zero day voie le jour. Cette fois, elle a été référencée par Adobe sous le numéro CVE-2015-0311. Elle affectait toutes les plateformes à savoir Windows, Mac, Linux et permettait à un malware de s’exécuter ou de télécharger des fichiers infectés pour s’exécuter sur la plateforme. Quelques jours après cette découverte c’est-à-dire le 24 janvier, Adobe a sorti progressivement des correctifs.

Il faut souligner que ces deux failles ont été exploitées par le malware Angler qui utilisait un kit d’exploitation pour infecter les systèmes.Et comme le dit l’adage, jamais deux sans trois.

Le 02 février dernier, une troisième faille a été à nouveau interceptée. Cette fois encore, elle était de type zero day et touchait les systèmes en redirigeant les pages web vers des liens infectés selon les dires de Trendmicro qui soupçonnait de prime abord Angler d’être à la base de cette infection même si d’autres sites prétendent le contraire. En tout état de cause, cette faille a été patchée depuis le 04 février par Adobe.

Flash n’a pas été le seul plug-in à faire les frais des failles à foison. Java également a dû sortir en janvier des correctifs pour dix-neuf failles dont quatorze permettaient à l’attaquant d’exécuter à distance du code sans authentification.

Comme on peut le constater, les plug-ins débutent l’année 2015 avec plusieurs failles importantes. Nous espérons que cela permettra aux entreprises d’être plus regardantes sur l’aspect sécurité de leur produit. En attendant, il serait avantageux de ne pas activer automatiquement leur exécution pour réduire le risque d’infection.


Source : Adobe Blog, Oracle


Et vous ?

Que pensez-vous de toutes ces failles dans ces plug-ins ?
Que comptez-vous faire pour les éviter?
Avez-vous une solution à proposer ?

[nchal]

Des failles sur Flash Player et Java... rien de nouveau sous le soleil

[Traroth2]

Pour Java, en fait, la nouvelle, c'est la publication de correctifs, en fait. Je ne vois pas ça comme une mauvaise nouvelle.

[nchal]

Je veux dire que ça fait des années que Flash Player et Java sont la cible d'attaque. Et que donc, la publication de fix, bah ça change pas vraiment de d'habitude...

[amine.hirri]

Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .

[Traroth2]

Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .

D'une manière générale, la publication de corrections est une bonne nouvelle. Et là, l'article cherche à les présenter comme un signe de mauvaise qualité du logiciel. Mais pas pour Microsoft ou Apple, bizarrement.

Après, des failles effectivement exploitées, c'est une mauvaise nouvelle.

[benjani13]

Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .

Pour les patch tuesday je vois pourtant régulièrement des news sur developpez qui expliquent (succinctement) les failles corrigés. Après, est-ce que d'autres corrections passent en douce je n'en sais rien.

[RyzenOC]

Les plug-ins Flash Player et Java

Heureusement que ces technos sont voué a disparaître, parce qu’elles sont quand même très contraignante, j'ai du refaire l'intranet d'une entreprise récemment, j'ai virer toutes leurs animations en flash et enlever 50% des applets java par du HTML5, et installer IE10 sur leurs postes (tous sous Windows7).
Bizarrement leurs intranet n'a jamais été aussi agréable a utilisé, (a facile a maintenir pour leur admin system)

[berceker united]

Oui enfin si tu refais un intranet fait en 98

[RyzenOC]

Oui enfin si tu refais un intranet fait en 98

non 2008

Tu m'explique ou on utilise encoire des applets java en dehors des intranet ? a part 2/3 sites des constructeurs (AMD, Nvidia...) pour détecter ta config je vois pas.

[parrot]

Bizarrement leurs intranet n'a jamais été aussi agréable a utilisé, (a facile a maintenir pour leur admin system)

Dans cet article, il est question de failles de sécurité. Et dans ce domaine, HTML5 et son lot de javascript peut encore nous réserver bien des surprises...

[polkduran]

ça existe toujours Flash?