Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Flash : une faille de sécurité « 0-day » dans la dernière version

HTML5 qui rit, Adobe qui pleure
Internet 2 min
Flash : une faille de sécurité « 0-day » dans la dernière version
Crédits : Âtin (licence CC BY 2.0)

Une nouvelle faille de sécurité « 0-day » dans Flash vient d'être dévoilée par TrendMicro, avant d'être reprise dans un bulletin de sécurité d'Adobe. La dernière mouture 16.0.0.296 est concernée, ainsi que les précédentes pour OS X et Windows. Les conséquences peuvent être fâcheuses puisqu'il est question de prise de contrôle de la machine à distance.

Depuis plusieurs jours maintenant, l'actualité autour de Flash Player d'Adobe est relativement chargée. Google a en effet annoncé qu'il passait à la balise vidéo HTML5 par défaut pour YouTube, tandis qu'une faille critique était dévoilée dans Flash en version 16.0.0.287 et antérieures. Le 24 janvier, une mise à jour estampillée 16.0.0.296 était publiée afin de combler la brèche en question. Problème, TrendMicro indique que cette dernière dispose également d'une faille de type « 0-day », c'est-à-dire qu'elle est d'ores et déjà exploitée.

Dans un bulletin d'alerte repris sur son site, Adobe confirme la présence d'une brèche, critique cette fois encore, qui pourrait provoquer un crash et ensuite permettre à un pirate de prendre le contrôle de la machine à distance. Windows 8.1 et toutes les versions précédentes sont concernés.

Trend Micro explique pour sa part que, selon les données qui sont en sa possession, « des visiteurs de Dailymotion sont redirigés vers une série de sites qui conduisent finalement à une URL piégée [NDLR : avec un fichier .swf] afin d'exploiter la faille ». La société spécialisée dans la sécurité ajoute qu'il « est important de préciser que l'infection se produit automatiquement puisque les publicités sont conçues afin d'être directement chargées lors d'une visite ». Elle ajoute en outre qu'il est « probable que l'infection ne soit pas limitée au site de Dailymotion puisqu'elle est transmise via la publicité et non pas par le site ».

Comme toujours en pareille situation, les recommandations sont simples : désactiver Flash en attendant qu'une mise à jour soit disponible. Adobe prévoit de la mettre en ligne cette semaine, sans plus de précision pour le moment. De notre côté, nous avons contacté Dailymotion afin d'avoir de plus amples informations et nous mettrons cette actualité à jour en fonction des retours.

64 commentaires
Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 03/02/15 à 13:07:53

Elle ajoute en outre qu'il est « probable que l'infection ne soit
pas limitée au site de Dailymotion puisqu'elle est transmise via la
publicité et non pas par le site ».
Et après, on s'étonne que les gens utilisent les Adblock+ et autres Flashblock ...

Pour ma part, j'ai pris une autre mesure : interdiction du chargement auto de ce plugin, je décide de quel site peut le charger ou pas. Mais je sens que je vais tout simplement le virer ...

Avatar de Inny Abonné
Avatar de InnyInny- 03/02/15 à 13:08:52

J'ai l'impression que Dailymotion est souvent impliqué dans des affaires de malvertising.

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 03/02/15 à 13:09:31

Encore une bonne raison d'interdire la publicité!

Avatar de wanou2 Abonné
Avatar de wanou2wanou2- 03/02/15 à 13:12:48

Du coup on a plus flash au boulot !

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 03/02/15 à 13:13:40

Inny a écrit :

J'ai l'impression que Dailymotion est souvent impliqué dans des affaires de malvertising.

Le problème n'est pas Dailymotion, mais les régies (je suppose qu'il y en a plusieurs) de publicité utilisées par ce site. De plus, pour un pirate, il est largement plus rentable de compromettre une régie publicitaire qu'un seul site web (même très connu et visité) car, de cette manière, tu touches largement plus de monde.
 
Après, on s'étonne que davantage de gens bloquent toutes publicités ...

Avatar de CrazyCaro INpactien
Avatar de CrazyCaroCrazyCaro- 03/02/15 à 13:14:11

eliumnick a écrit :

Encore une bonne raison excuse d'interdire la publicité!

:cap:

Plus sérieusement, autant j'ai horreur de la pub sur les vidéos (ou ailleurs), autant ton argument est foireux. Tu pourrais tout aussi bien dire "une bonne raison d'interdire les vidéos", ou "une bonne raison d'interdire internet" :roll:

Le problème, ce n'est pas la pub en général, c'est DM qui choisit mal ses régies.

Avatar de Cocquecigrues Abonné
Avatar de CocquecigruesCocquecigrues- 03/02/15 à 13:18:01

Si on pouvait voter pour des commentaires, j'aurai voté pour le tien. C'est pour quand le bouton "Donner un Cookie" ?

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 03/02/15 à 13:20:50

Cocquecigrues a écrit :

Si on pouvait voter pour des commentaires, j'aurai voté pour le tien. C'est pour quand le bouton "Donner un Cookie" ?

J'espère que ça n'arrivera pas ou que ça ne sera visible que par la personne ayant reçu ce "vote" ...

Avatar de madoxav INpactien
Avatar de madoxavmadoxav- 03/02/15 à 13:26:22

CrazyCaro a écrit :

ton argument est foireux

Y'avait même pas d'argument en fait :)

Avatar de RolyPoly INpactien
Avatar de RolyPolyRolyPoly- 03/02/15 à 13:28:11

Ca fait 2 ans que j'ai supprimé Flash de mon ordi et tout fonctionne étonament bien :)

Sauf les vidéos Facebook, impossible de les lire directement dans le flux. Mais osef.

Il n'est plus possible de commenter cette actualité.
Page 1 / 7