Adobe bouche 19 failles dans Flash, dont une déjà exploitée

Adobe bouche 19 failles dans Flash, dont une déjà exploitée

C'est le moment de prendre de bonnes résolutions

Avatar de l'auteur
Sébastien Gavois

Publié dans

Logiciel

30/12/2015 2 minutes
47

Adobe bouche 19 failles dans Flash, dont une déjà exploitée

Adobe Flash finit l'année avec une importante mise à jour de sécurité. Dans cette fournée, 19 failles de sécurité sont bouchées, dont une déjà exploitée. Il est donc recommandé de se mettre à jour dès que possible.

Les annonces s'enchainent et se ressemblent pour Adobe qui vient de publier un nouveau bulletin de sécurité pour Flash et Air, accompagné d'une mise à jour dans les deux cas. Il y est question de pas moins de 19 failles critiques, dont une de type 0-day, c'est-à-dire qu'elle est déjà exploitée au moment où l'éditeur propose le correctif.

Concernant cette dernière (identifiée sous le numéro CVE-2015-8651), la société précise qu'elle a connaissance d'au moins un rapport indiquant qu'elle est d'ores et déjà utilisée dans « des attaques limitées et ciblées ». Il s'agit d'un dépassement d'entier qui permet ensuite de prendre le contrôle à distance de la machine. Pour le reste, Adobe n'est pas très bavard sur les détails, mais les conséquences peuvent être fâcheuses puisqu'il est toujours question d'exécuter sur code à distance.

Les versions de Flash inférieures à la 20.0.235 sont touchées (que ce soit sur Windows, OS X, Linux, Chrome OS, Internet Explorer 10/11, Edge et Chrome). Dans tous les cas, il faut passer à la mouture 20.0.0.267 pour combler les brèches (11.2.202.559 pour Linux). Concernant la branche 18.x qui bénéficie d'un support étendu, la mise à jour porte le numéro de version 18.0.0.324, tandis que pour Adobe Air (Windows, OS X, Android et iOS), elle est estampillée 20.0.233.

Comme toujours en pareille situation, il est donc recommandé de se mettre à jour. Vous pouvez vérifier la version de Flash installée sur votre machine en vous rendant sur cette page.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (47)


QUand est-ce qu’on va être débarrassé de ce mamouth increvable et bugué jusqu’a la moelle ?


Flash on l’appeler Denver le Dernier Dinosaure sauf que lui, ce n’est pas notre ami et bien plus encore…

Sans déconner même les sites pr0n sont passés en HTML4 pour la vidéo. (C’est un pote qui m’a dit ça. <img data-src=" />)


Cool en plus le mois prochain on ne pourra plus télécharger les .exe ou .msi pour déployer cette <img data-src=" /> sans avoir un contrat chez Adobe <img data-src=" />



Source.


Normal le html5 est natif pour la plupart des navigateurs mobiles…. <img data-src=" />


Toi aussi c’est un pote qui te l’a dit ? <img data-src=" /> <img data-src=" />

‘Fin bon, il était temps parce que flash sur smartphone est parfait si on veut tuer une batterie. <img data-src=" />








Soltek a écrit :



Cool en plus le mois prochain on ne pourra plus télécharger les .exe ou .msi pour déployer cette <img data-src=" /> sans avoir un contrat chez Adobe <img data-src=" />



Source.





putain font chier…… <img data-src=" />



Il me semblait que les correctifs étaient abandonnés pour la version Linux ? <img data-src=" />








Jarodd a écrit :



Il me semblait que les correctifs étaient abandonnés pour la version Linux ? <img data-src=" />





Les correctifs non, les évolutions oui. C’est toujours la 11.2 mais elle reçoit des mises à jour de sécurité.









Aces a écrit :



Toi aussi c’est un pote qui te l’a dit ? <img data-src=" /> <img data-src=" />

‘Fin bon, il était temps parce que flash sur smartphone est parfait si on veut tuer une batterie. <img data-src=" />





Le HTML 5 c’est encore pire…



Pas sur le mien enfin, si ça baisse mais pas comme flash. :^)


Ça doit être un plan pour forcer les entreprises à virer ce machin des postes <img data-src=" />


Je suis entrain de remplir le formulaire, c’est chiant.

Par contre ça concerne Flash player, reader, air et shockwave player…








Aces a écrit :



Pas sur le mien enfin, si ça baisse mais pas comme flash. :^)





Ca dépends de ce qu’on fait avec je suppose, lecteur vidéo etc ça doit être mieux, mais par exemple, j’avais fait en flash un lecteur de code EAN freemove, qui tournais parfaitement sur un GS3, &nbsp;j’ai du le refaire en javascript sur chrome (déjà il n’y a que chrome qui permet d’accéder a la caméra du smartphone), résultat, il tallait au moine un haut de gamme de l’année dernière pour le faire tourner de façon aussi efficace… environ 4x plus de ram utilisé, et 35x plus de ressource CPU.

sur le GS3 je passais d’une analyse a la frame, à une analyse à plus de 1 image/s… j’ai même essayé des bibliothèque JS &nbsp;toute faite en me disant que mon code était peut être pas bien optimisé, c’était encore pire…









Stel a écrit :



QUand est-ce qu’on va être débarrassé de ce mamouth increvable et bugué jusqu’a la moelle ?











Aces a écrit :



Flash on l’appeler Denver le Dernier Dinosaure sauf que lui, ce n’est pas notre ami et bien plus encore…

Sans déconner même les sites pr0n sont passés en HTML4 pour la vidéo. (C’est un pote qui m’a dit ça. <img data-src=" />)







+1. surtout que sous Tux, les alternatives (Gnash chez moi), ça marche si ça veut, au bon vouloir des sites…



Devoir se farcir Chrome rien qu’en backup pour ce genre de situation, zut à la fin !



ah bon !

je n’ai pas cette impression !


Je sais bien qu’il n’existe aucun logiciel sans faille mais, depuis que Flash existe, il en a cumulé combien ?

Ça doit probablement être un chiffre à faire rêver.








Stel a écrit :



QUand est-ce qu’on va être débarrassé de ce mamouth increvable et bugué jusqu’a la moelle ?



J’ai toujours répété que certains en ont besoin!



Néanmoins, cet article me fait basculer du coté de ceux qui vont par principe le désinstaller de mon firefox.

(reste toujours Edge en cas d’urgence, genre accéder à mon NAS…)



Mais on s’en fiche du nombre de failles… L’essentiel est qu’elles soient corrigées rapidement.


Qu’en est-il du support Flash intégré à Chrome ? Concerné aussi ou pas par les failles ?








Winderly a écrit :



Je sais bien qu’il n’existe aucun logiciel sans faille mais, depuis que Flash existe, il en a cumulé combien ?

Ça doit probablement être un chiffre à faire rêver.



je dirais approximativement 15.925.647 ^1000, à +/- 10% <img data-src=" />



si on veut compter le nombre de failles &gt; MCrosoft est en tete

surtout qu’il y a encore des failles 0-days non comblées a gauche et a droite …



le plus gros probleme de Flash : la Pub

ce qui a tenu Flash aussi longtemps : la Pub



je dois encore avoir quelque part FuturSplash



pour ce qui est des flux videos avec du Html5 sur mobile

ca tue tout aussi vite la batterie que du flash


Et tu trouves que c’est le cas ici ?&nbsp;<img data-src=" />


petite question ;

Si un particulier&nbsp; qui se sert rarement de flash (merci HTML 5)&nbsp; n’est-il pas préférable de passer en version ESR (les nouveautés…tout le monde ne s’en sers pas) ?



Sur leurs site ont lit clairement “…privilégier la stabilité de Flash Player plutôt que ses nouveautés….”

&nbsp;

Merci


Allez petit flash ne résiste pas…. meurt paisiblement








Soltek a écrit :



Cool en plus le mois prochain on ne pourra plus télécharger les .exe ou .msi pour déployer cette <img data-src=" /> sans avoir un contrat chez Adobe <img data-src=" />



Source.





&nbsp;Extrait de la source:

&nbsp;“Si vous n’êtes pas un utilisateur professionnel, rendez-vous sur&nbsp;get.adobe.com/flashplayer&nbsp;pour télécharger Adobe Flash Player pour votre système.“Tu pourras toujours télécharger le .exe, mais tu ne pourras pas le redistribuer dans contrat spécifique.&nbsp;Sinon, il n’y a que moi que ça fait tiquer dans la news: “Les versions de Flash inférieures à la 20.0.235 sont touchées (que ce soit sur Windows, OS X, Linux, Chrome OS, Internet Explorer 1011, Edge et Chrome)” =&gt; on mélange OS et navigateurs ? ou alors IE 10/11/Edge ont un flash intégré ?









vercety974 a écrit :



Mais on s’en fiche du nombre de failles… L’essentiel est qu’elles soient corrigées rapidement.





Je suis pas d’accord, corriger des failles rapidement est important mais partir sur des bases les plus saines possibles est à mon avis encore plus important.









Jarodd a écrit :



Il me semblait que les correctifs étaient abandonnés pour la version Linux ? <img data-src=" />





<img data-src=" />

En tout cas, il serait plus que temps d’euthanasier cette vérole à l’agonie. Il devrait même y avoir une loi pour ça.



Sinon y a Vivaldi, un fork de Chrome non affilié à Google. Suffit de virer les signets par déaut qui sont un peu de la publicité et ça a l’air d’aller ensuite (on peut installer les extensions de Chrome donc bloqueurs de publicités/améliorateurs de vie privée/sécurité etc…). Il y a d’autres forks aussi, comme Iron …








Abused a écrit :



si on veut compter le nombre de failles &gt; MCrosoft est en tete

surtout qu’il y a encore des failles 0-days non comblées a gauche et a droite …



le plus gros probleme de Flash : la Pub

ce qui a tenu Flash aussi longtemps : la Pub



je dois encore avoir quelque part FuturSplash



pour ce qui est des flux videos avec du Html5 sur mobile

ca tue tout aussi vite la batterie que du flash



<img data-src=" /> le plus gros problème de Flash : l’utilisation qui en est faite : des pubs mal conçues et multipliées.









Exagone313 a écrit :



Sinon y a Vivaldi, un fork de Chrome non affilié à Google. Suffit de virer les signets par déaut qui sont un peu de la publicité et ça a l’air d’aller ensuite (on peut installer les extensions de Chrome donc bloqueurs de publicités/améliorateurs de vie privée/sécurité etc…). Il y a d’autres forks aussi, comme Iron …







Ou Chromium.



Je n’utilise plus flash depuis 3 mois (tout viré) et je n’en ressens pas spécialement le manque.

&nbsp;

La plupart des sites que je consulte et qui utilisaient cette technologie ont su évoluer et sont passés à des lecteurs html5 avec succés.



J’ai mis de côté temporairement les sites qui continuent d’utiliser du flash.


Il faut garder Flash car c’est plus facile à dire que hashtéémélsinq !








Exagone313 a écrit :



Sinon y a Vivaldi, un fork de Chrome non affilié à Google. Suffit de virer les signets par déaut qui sont un peu de la publicité et ça a l’air d’aller ensuite (on peut installer les extensions de Chrome donc bloqueurs de publicités/améliorateurs de vie privée/sécurité etc…). Il y a d’autres forks aussi, comme Iron …







Je connais et j’utilise sur ma station de travail. Déploiement ailleurs envisagé, en commençant par mon portable.



Je n’ai pas Flash directement installé sous Windows 10 x64, et de toute façon j’utilise Firefox qui n’a pas non plus de plugin relié à Flash. Je n’ai aucun souci particulier dans le surf ou le visionnage de vidéos qui se font par l’intermédiaire de HTML5, hormis de rares cas qui me demandent d’installer Flash, dans ces cas-là je quitte la page.



<img data-src=" />



Il est vrai que Flash est implémenté dans Edge sous Windows 10 et il se met à jour par le biais de Windows Update. Et si j’en ai vraiment absolument besoin (ce qui est très rare), j’utilise Chrome qui lui intègre toujours les dernières versions.



<img data-src=" />








jaretlafoudre a écrit :



Ca dépends de ce qu’on fait avec je suppose, lecteur vidéo etc ça doit être mieux, mais par exemple, j’avais fait en flash un lecteur de code EAN freemove, qui tournais parfaitement sur un GS3,  j’ai du le refaire en javascript sur chrome (déjà il n’y a que chrome qui permet d’accéder a la caméra du smartphone), résultat, il tallait au moine un haut de gamme de l’année dernière pour le faire tourner de façon aussi efficace… environ 4x plus de ram utilisé, et 35x plus de ressource CPU.

sur le GS3 je passais d’une analyse a la frame, à une analyse à plus de 1 image/s… j’ai même essayé des bibliothèque JS  toute faite en me disant que mon code était peut être pas bien optimisé, c’était encore pire…







Ne te fatigue pas, Javascript, c’est un langage intrinsèquement inefficace. Et cela sans même parler de la pile de framework empilés qui achèvent le malade…



Quand un truc et mauvais à la base, mais que personne n’arrive à l’achever. Malgré tous les efforts, la pourriture s’étends… c’est ce qu’on appelle l’informatique zombie…




Ah moi le pron je le télécharge, j’ai pas envie d’avoir un gif de loading en plein milieu de mon élan !


Le jour ou Windows le mettra plus a jour sera beni :). En tout cas j’ai pas de flash installé à par celui de Windows update


La bonne résolution de l’année: Tout comme java, flash ne fera plus partie de mon ecosystème logiciel en 2016 <img data-src=" />


D’ailleurs il faudrait un mode par défaut pour flash dans chrome afin de ne charger le plugin que quand c’est necessaire


Il y a moyen dans Chrome (et dans tous ses dérivés) de ne pas charger les plugins genre Flash ou Java, ou de les lancer au cas par cas en cliquant dessus. :) Paramètres -&gt; Confidentialité de mémoire.


“rien”que pour ça (éh, éh) ! <img data-src=" />








John Shaft a écrit :



Ça doit être un plan pour forcer les entreprises à virer ce machin des postes <img data-src=" />







Et comment qu’on va faire, dans ma boite, pour aller sur “rire et chansons” quand on veut entre midi et 2 ? <img data-src=" />







Slash a écrit :



La bonne résolution de l’année: Tout comme java, flash ne fera plus partie de mon ecosystème logiciel en 2016 <img data-src=" />







J’ai essayé, sans trop faire exprès <img data-src=" /> il y a peu, en basculant tout le monde vers Firefox64 : j’en ai pris plein la gueule perso… <img data-src=" />

J’pouvais pas imaginer que cette daube de Java (plugin) pouvait être utilisé par autant d’applis et de TP de m<img data-src=" />. Bref, pour certains services et salles de TP, j’ai dû faire machine arrière, Firefox 32-bits, et fissa ! <img data-src=" />



M’en fout ! Fin 2016 (dixit Mozilla) ils z’iront se faire voir chez les grecs avec leur java de daube… <img data-src=" />









sr17 a écrit :



Ne te fatigue pas, Javascript, c’est un langage intrinsèquement inefficace. Et cela sans même parler de la pile de framework empilés qui achèvent le malade…



Quand un truc et mauvais à la base, mais que personne n’arrive à l’achever. Malgré tous les efforts, la pourriture s’étends… c’est ce qu’on appelle l’informatique zombie…





Je sais bien, mais avec toutes ces news ca donne l’impression justement que le HTML5/Javascript c’est le dutur , c’est tip/top, performant et tout, alors qu’a coté de flash, c’est… heu… ben no comment…

Flash a certe des défaut, mais HTML5/JS, le seul avantage, en gros c’est que ça ne demande pas de plugin…

Bon, en même temps ça donne une raison a la monté en puissance des smarphone et ordinateur…









jaretlafoudre a écrit :



Je sais bien, mais avec toutes ces news ca donne l’impression justement que le HTML5/Javascript c’est le dutur , c’est tip/top, performant et tout, alors qu’a coté de flash, c’est… heu… ben no comment…

Flash a certe des défaut, mais HTML5/JS, le seul avantage, en gros c’est que ça ne demande pas de plugin…

Bon, en même temps ça donne une raison a la monté en puissance des smarphone et ordinateur…







Mais c’est le futur. Toutes les boites veulent que tout tourne dans le navigateur, des OS entiers sont bâti autours des navigateurs, le claoude c’est trop bien et tout… Donc on nivelle par la médiocrité. Et puis les machines aujourd’hui sont largemnt assez puissantes pour se le permettre alors pourquoi se priver ?