Faille zero day dans Flash en cours de résolution par Adobe

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Cet article a été écrit au moment où Adobe alertait au sujet d’une mise à jour à venir, mais avant qu’elle ne soit officiellement disponible. Les patches en question ont maintenant été publiés, incrémentant la version Flash vers 21.0.0.213 et l’Extented Support Release vers 18.0.0.34321 pour Windows, et OS X, et 11.2.202.616 pour Linux.

[/vc_message][/vc_column][/vc_row]

Faites bien attention à l’“Update Tuesday Patch”, la mise à jour de ce mois-ci, mise à disposition par Adobe Flash.

Adobe a lancé une alerte par anticipation, en expliquant que la mise à jour prête à être envoyée, résolvait une vulnérabilité qui était déjà exploitée au niveau mondial.

Le bug permet à un hacker d’envoyer du contenu piégé au plugin Flash installé dans le navigateur, de manière non seulement à faire planter ce dernier mais aussi à permettre la prise de contrôle de celui-ci par le hacker en question.

Le nom technique de ce type d’exploit est , aussi connu comme étant un drive-by-download ou un drive-by install, ainsi dénommé car il suffit de consulter une page piégée pour être infecté.

Il n’est pas nécessaire d’entreprendre une quelconque action supplémentaire, telle que de cliquer sur un bouton [OK] d’une boite de dialogue, ou encore de cliquer [IGNORER] au niveau d’une fenetre pop-up de sécurité : une infection par un malware drive-by survient généralement très rapidement.

Heureusement, Adobe n’a pas eu besoin de sortir en urgence en fix anticipé avant la mise à jour actuelle. Le mois dernier, un fix d’une faille zero day avait dû être émis seulement 2 jours après l’Update Tuesday, lorsqu’un nouvel exploit s’était répandu au niveau mondial.

Apparemment, le seul exploit connu à ce jour et associé à ce bug, désigné par l’appellation CVE-2016-1019, semble avoir été atténué par des techniques de protection basées sur des exploits proactifs et programmées au sein de la dernière mise à jour Flash 21.0.0.182.

En d’autres termes, même si le code malveillant est présent au niveau de la version actuelle 21.0.0.197, la version actuelle et la précédente ont assez de défense en profondeur pour limiter le danger représenté par cet exploit.

Selon Adobe, la récente attaque lancée au niveau mondial ciblent uniquement Windows. Ainsi les utilisateurs OS X et Linux n’ont reçu qu’un simple avertissement.

Quoi faire ?

Ces derniers temps, lorsque nous avons écrit au sujet des mises à jour Flash, ou bien lorsque nous avons engagé une discussion à ce sujet dans nos podcasts hebdomadaires, nous avons en général recommandé l’expérience suivante : essayer tout simplement de vivre sans Flash au niveau de votre navigateur et ce définitivement.

Vous pouvez soit désinstaller Flash complètement, ou bien le désactiver au niveau de vos navigateurs où Flash apparait de manière intégrée, comme dans Microsoft Edge.

En général ce conseil déclenche 2 types de réponses.

La première réponse vient de gens qui expriment leur surprise par rapport à ceux qui continuent de s’inquiéter au sujet de Flash, car eux s’en passent depuis des années et ne voit pas pourquoi nous continuons de l’évoquer aujourd’hui.

L’autre réponse vient des gens qui estiment que le plupart de leurs sites préférées nécessitent encore et toujours Flash, et qui expriment leur surprise vis à vis de ceux qui pensent sérieusement pouvoir s’en passer.

Si vous avez besoin de le garder, assurez-vous de le maintenir à jour correctement, et utiliser la fonction click-to-play au niveau de votre navigateur (aussi connue sous le nom de “cliquer pour activer”). Ainsi, le contenu Flash ne se lancera pas sans que vous le sachiez, spécialement sur les sites que vous n’avez pas visités auparavant.

Suivre @SophosFrance
Billet inspiré de “Flash zero-day in the wild to be fixed by Adobe” par Paul Ducklin de Naked Security
Partagez “Faille zero day dans Flash en cours de résolution par Adobe” avec http://wp.me/p2YJS1-2CF