Après une première salve de correctifs en fin de semaine dernière, Adobe revient à la charge avec une nouvelle mise à jour de sécurité pour Flash. Elle comble enfin la brèche détectée la semaine dernière, mais utilisée depuis des mois, ainsi que deux autres au passage.
Les semaines se suivent et se ressemblent pour Adobe. Après une mise à jour bouchant pas moins de 69 failles dans Acrobat, Flash et Reader, Adobe vient de mettre encore une nouvelle mouture de son lecteur Flash en ligne. Trois failles de sécurité sont ainsi comblées.
La première concerne une brèche détectée par Trend Micro et qui était déjà exploitée depuis un bon moment par des pirates, notamment afin de récupérer des données de plusieurs ministères des Affaires étrangères. Si une série de correctifs avait été mise en ligne quelques heures plus tard, aucun ne corrigeait cette brèche. C'est désormais le cas avec Flash en version 19.0.0.226 (sur la majorité des plateformes, mais dans certains cas les numéros de versions ne sont pas les mêmes).
Mais ce n'est pas tout et Adobe en profite pour combler deux autres failles, dont on ne sait pas grand-chose si ce n'est qu'elles touchent les versions antérieures à la 19.0.0.266, et donc la 19.0.0.27 mise en ligne il y a quelques jours seulement. Les bulletins CVE-2015-7647 et 7648 ne donnent que peu d'indications. On y apprend qu'il s'agit de deux brèches différentes, même si les courts descriptifs sont exactement les mêmes : la possibilité d'exécuter du code arbitraire en s'appuyant sur une « confusion de type ».
Comme toujours, il est plus que recommandé de se mettre à jour si ce n'est pas déjà fait. Certains navigateurs l'intègrent directement, dans ce cas il faut également penser à vérifier la version en place. Pour cela, vous pouvez vous rendre sur cette page. Dans tous les cas, ses failles à répétitions ne font qu'alimenter le moulin de ceux qui réclament la fin du lecteur d'Adobe.
Commentaires (41)
#1
Petite faute : “Abode en profite”
Pas trouvé comment la reporter sur la version mobile… Pas de bouton signaler qui apparait par magie comme sur la version classique du site.
#2
En parlant de faille et e flash, depuis quelque temps j’ai des bug d’affichage sous Firefox après la lecture d’une vidéo.
C’est lié ou pas ?
#3
Moi mon Firefox freeze carrément, tu clic partout ça fait rien, mais genre rien, même pas ça te dit que ça ne répond pas, il ne prend rien en CPU ou en RAM mais obligé de kill le process. Ça ne me le fait qu’avec des lecteurs embarqués DailyMotion.
Sur Twitch pas de problème.
Sinon la 19.0.0.266 qui remplace la 19.0.0.27 c’est que je ne suis pas réveillé ou bien même en nommage de version ils sont pas fufutes ?
#4
Et ça continue encore et encore
C’est que le début d’accord, d’accord
#5
266 > 27
C’est juste le nombre de petits bugs corrigé ;)
#6
pour régler ce soucis tu clic sur l’icone de la fenêtre comme pour la réduire dans la barre des tâches puis tu reclic et hop le player se relance, j’ai le même soucis et ça marche
#7
J’aimerais quand même comprendre un truc : comment un tel logiciel, utiliser par probablement 80% des internautes (oui je sors le chiffre de mon chapeau) peut être aussi troué ?
Est-ce que c’est parce que justement tout le monde l’utilise que du coup pas mal de hacker s’y intéressent ou est-ce que les gens d”Adobe ne sont pas capable de coder qu’autrement qu’avec leur pied ?
Perso je trouve ça assez dingue autant de faille dans un tel logiciel.
#8
J’imagine que c’est pour plusieurs raisons, l’une d’elle est ce que permet de faire Flash, ou Java.
#9
C’est surtout que la version précédente c’était la 19.0.0.207.
#10
#11
C’est inadmissible de la part d’adobe de corriger ces failles, comment la nsa va acceder à nos pc et nous protéger des terroristes maintenant, c’est de l’inconscience professionel.
J’espère que les DRM intégré à l’html5 seront plus permissif pour protéger les citoyens.
#12
#13
#14
#15
Ce ne sont plus les failles qu’il faut colmater, mais plutôt Flash.
" />
#16
a méditer
#17
Je confirme pour les freezes… Depuis que je suis passé à la v19, je les ai aussi. Bien agaçant quand ils n’existent que sur FF!
Pour le nommage, c’est un raté dans l’article : c’est la 19.0.0.207 qui précédait la 266.
Edith : ajustements.
#18
Plusieurs pistes :
Bref, c’est une cible parfaite pour les hackers.
#19
#20
#21
Meilleure solution : désinstaller Flash (et Java tant qu’à faire).
#22
Comme le fait remarquer Alpach, c’est juste que Flash est plus connu.
Il y a peu d’actualités sur les vulnérabilités des bibliothèques Linux,
pourtant utilisées sur la majorités des serveurs web de la planète et des smartphones Android.
#23
#24
Adobe, c’est un peu comme sur NXi.
" />
Avec NXi, le dimanche on à les LIDD.
Avec Adobe, le lundi, on a les failles.
#25
#26
+1
" />
#27
non je ne trouve pas, TU la trouves lourde. Pas moi (et d’autres)
#28
#29
Et couler notre boîte ?
" />
Des fois on a malheureusement pas le choix (d’utiliser Java dans notre cas et plus précisément à cause de nos clients).
#30
Si vous vous reposez sur des solutions reposant sur des plugins NPNAPI, ça va pas le faire car ceux-ci seront dans un délai court systématiquement bloqués.
#31
Je sais, faut le dire à nos clients (qui sont juste des collectivités, agglo, conseils généraux, gouvernement, etc
" />).
#32
Si coté serveur ça se repose sur autre chose que Java et Flash, pas de souci, les nouveaux navigateurs s’adaptent. Et au pire une petite invitation de passer à IE9+ ou FF30+ de rigueur …
#33
#34
Java est requis pour pouvoir répondre aux appels d’offres. On ne peut passer outre pour signer les documents envoyés.
Sous Edge c’est niet, sous Chrome maintenant aussi, sur certaines plateformes ça passe sous IE11 et d’autres sous Firefox 41 (oui de notre côté on est à jour).
#35
#36
#37
mms.cfg suite : flash admin guide, chapitre 4 (page 28)
" />
Tout est expliqué !
#38
#39
+
#40
#41
C’est surprenant, les différents navigateurs corrigent des failles de sécurité régulièrement, et personne n’en parle.