L’actualité autour de Flash se fait moindre avec le temps, mais Adobe continue de corriger les failles de sécurité découvertes. Dans un bulletin publié lundi soir, la firme colmate ainsi quelque 23 brèches, dont plusieurs sont décrites comme critiques. Évidemment, la mise à jour générale est chaudement recommandée.
Adobe colmate donc 23 failles de sécurité, dont une partie est critique. Cette seule raison doit sonner le tocsin auprès des utilisateurs, clairement invités à mettre à jour aussi rapidement que possible, quand bien même la présence des contenus Flash diminue avec le temps. Toutes les versions 18 et antérieures de Flash et Air pour Windows, OS X, Chrome OS, Android ou encore les moutures intégrées dans Chrome, Internet Explorer et Edge sont vulnérables.
Les solutions sont en fait déjà toutes disponibles. Chrome a par exemple été mis à jour, et le correctif adapté est déjà proposé par Windows Update dans les versions du système concernées (à partir de Windows 8). Adobe propose évidemment des téléchargements de son côté pour ceux qui utilisent un navigateur sans plugin intégré, notamment Firefox ou une version plus ancienne d’Internet Explorer. Notez cependant que les actuels testeurs de Windows 10 (programme Insider) n’ont pas la mise à jour à disposition. Si on vérifie la version installée de Flash dans Edge, c’est bien la mouture 18.0.0.232, vulnérable, qui est présente.
La dangerosité des failles est en tout cas certaine. Sur les 23 failles dont il est question, 18 sont clairement critiques et permettent une exploitation à distance. Elles couvrent plusieurs types de problèmes, dont le dépassement de mémoire tampon, la corruption de mémoire, le dépassement de pile ou encore la corruption de cette dernière.
Dans un contexte où la technologie elle-même devient moins utilisée, notamment pour la vidéo avec la diffusion des balises HTML5, certains aimeraient pouvoir sans doute se débarrasser complètement du lecteur. Google et Microsoft ont joué la carte de la sécurité en prenant les devants et en intégrant le plugin à leurs conditions, dans un espace mémoire isolé. La contrepartie est qu’il n’est pas possible de le supprimer. Une situation qui évoluera sans doute à l’avenir.
Commentaires (68)
#1
mouais, la MAJ a foiré toute la soirée hier sur mon W10, et je me demande si c’est pas la raison de mon premier et unique écran bleu de W10, en pleine lecture d’une vidéo sous MPC-hc, sans aucun signe annonciateur.
#2
moi c’est simple,
j’ai firefox et je n’installe plus du tout flash .. si un site réclame le plugin, je vais voir ailleurs :o
#3
C’est un peu radical.
Chez moi il est installé mais désactivé. Je l’active si vraiment c’est nécessaire.
#4
Idem, il est bloqué avec l’extension Flashblock sur Firefox, si j’ai vraiment besoin, j’ai juste a appuyer sur la flèche.
#5
J’ia supprimé complètement Flash sur mes postes il y a quelques temps, et il est rare que je croise quelque chose où flash soit imposé.
Les éditeurs le rendent de plus en plus souvent facultatifs. Il n’est plus vraiment gênant de se passer complètement de Flash à l’heure actuelle.
#6
Il y a plus de failles de sécurité que de fonctionnalités dans Flash.
" />
#7
#8
pareil pour moi, flash totalement desactivé. et en fait on vit ça tres bien 
" />
#9
il est pas installé chez moi, ou alors c’est via le navigateur je crois… vu à quoi ça sert, j’en ai pas/plus besoin
vivement qu’il crève ce truc :/
#10
C’est un peu l’OpenSSL des logiciels proprio
" />
#11
“Sans foi sur le métier, remettez votre ouvrage”
Excellent.
#12
Ils n’ont tjs pas compris …que c’est flash qui est une faille critique à lui tout seul ?
" />
#13
#14
Je l’ai désactivé dans Edge, comme ça il ne m’emmerde pas
" />
Et vu qu’en Insider, la faille est présente, c’est aussi bien !
#15
T’es sûr ?
" />
#16
Tu peux le bloquer par défaut dans Firefox, et sans add-on.
" />)
Dès qu’un site demande à l’utiliser, tu as un ptit message pour voir si tu veux l’activer en permanence sur ce site ou bien une fois.
Un add-on de moins me concernant (mais si très utile et pendant longtemps
#17
v 19 déjà !
pff c’est vrai que c’est lourdingue tout ça
#18
#19
en fait la faille de sécurité c’est d’installer flash si je comprend bien ?
#20
#21
Moi, il est toujours installé pour certains sites
" /> mais désactivé par défaut par FF.
#22
Java
" />
#23
pourtant un simple patch permettrait de regler toute les failles :
rm -Rf flash :p
—> deja sortis ;)
#24
#25
#26
#27
Avec une extension ou directement ?
" />
" />
En tout cas, je demande à voir la gueule du code source pour qu’il y ait toujours autant de failles
J’imagine le truc tellement dégueulasse qu’aucun employé n’ose s’y aventurer
#28
C’est l’héritage de shockwave qui avait aussi été fait avec les pieds.
Comme la base est pourrie, …
#29
#30
#31
#32
#33
#34
#35
Pendant ce temps là, chez Lenovo…
" />
#36
“Google et Microsoft ont joué la carte de la sécurité en prenant les devants et en intégrant le plugin à leurs conditions, dans un espace mémoire isolé. La contrepartie est qu’il n’est pas possible de le supprimer. Une situation qui évoluera sans doute à l’avenir.”
" />
Comment ça ? Vous parlez bien pour Windows 8, 8.1 et 10 ? Pas de Windows 7 j’imagine, ou alors j’ai largement raté une information
Cela dit, je ne savais pas qu’il était exécuté dans un espace mémoire isolé, ce qui est déjà intéressant à savoir…
#37
Non mais plus grave, noco.tv le site replay de nolife utilise encore flash…
" />
#38
Pareil. Et je fais la même chose pour Java.
#39
Ton scepticisme est de rigueur, puisqu’on parle d’Adobe de Flash… Mais bon, quel lien existe-t-il entre MP-HC et Flash ? Absolument aucun selon moi.. A part peut-être si tu lisait une vidéo en .FLV, ce qui est possible avec MP-HC, mais tellement improbable de nos jours…
Encore que dans ce cas-là, je crois que MP-HC utilise un décodeur interne sans aucun lien avec le Flash qui serait installé ou non sur la machine.
#40
Je disais juste que le crash de la machine est arrivé quand je regardais une vidéo, sans rien faire d’autre. Hors j’ai vu après que windows rapportait des échecs sur la MAJ, qu’il tentait de faire en background, mais sans dire l’heure exacte.
#41
#42
Java, j’ai encore besoin du JDK pour mon IDE :-/ (phpstorm)
mais à part ça, il aurait dégagé depuis longtemps aussi.
#43
Va dire ça aux chaînes de TV particulièrement M6 ou l’interface même est 100% en flash…
" />
Et me concernant mis à part les grand sites (YT, daily…) je rencontre toujours régulièrement de flash… Du genre sur les sites des journaux.
Tiens l’autre fois, ma mère se plaignait qu’elle ne pouvait pas lire les replay de TF1 sur son smartphone. Alors oui y’a l’appli, mais l’ayant testé, c’est une m sans nom, elle est bourrée de pub et les vidéos ou le direct ne marchent pas, par contre la pub avant elle fonctionne comme par hasard…
#44
Pourquoi utiliser une extension alors que tous les navigateurs proposent une interface pour activer ou désactiver des plugins ?
#45
Flash c’est de la daube!
" />
#46
#47
Flash (et Java par la même occase) n’offrent plus trop d’intérêt pour les webmasters avec la montée en puissance de l’html 5. Ce format proprio va donc disparaître à plus ou moins long terme mais pour accélerer la chose, il faudrait que les plus gros sites sautent le pas, hisoire de donner l’exemple et montrer qu’on peut faire un site moderne, attrayant, sans flash, active x , java ou autre plugin à failles
#48
#49
#50
Oui, mais tu peux activer à la volée ? Il me semble que oui, mais juste pour être sûr.
#51
Oui mais étant donné que Nolife ne passera pas la fin de l’année…
" />
#52
#53
Le client “léger” de Vmware Center qui est intégralement en Flash … Résultat, j’ai réinstallé le client lourd pourtant moins pratique et à terme plus maintenu … Il parait qu’ils réfléchissent à une version HTML5 …
#54
#55
#56
#57
#58
Yes you can
" />
#59
#60
Comment ça ?
#61
Bah il y a une news à ce sujet sur UniversFreebox.
#62
On a qu’une vie et perso je suis abonné à un site de rencontre qui utilise massivement le format Flash pour les vidéos (webcam etc)… ya pas de contournement en HTML5 vu les possibilités et le nombre de flux vidéo du site
#63
Au moins l’avantage d’Abobe et ses failles, c’est qu’il permet d’entrainer les utilisateurs à le mettre à jour.. Ou pas. 
" />
#64
#65
Tout dépend des habitudes de surf de chacun, c’est certain.
Dans mon cas, sur le dernier mois, je n’ai rien croisé de bloquant.
#66
#67
C’est sur que si pour vous Flash se limite à la pub et aux vidéos , vous pouvez vous en passer…