29 Mai : Vulnérabilité Flash Player

[Contact75]

Il ne se passe pas un mois sans qu'une vulnérabilité soit déclarée dans Flash Player, le lecteur Flash d'Adobe.

Source : http://www.secunews.org/index.php?name= ... ew&id=4243


Comme d'habitude, cette faille permettre à un pirate ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une animation Flash (.SWF) ou d'une page web piégée.


Versions Vulnérables:

- Adobe Flash Player 9.0.124.0 et versions inférieures

Correctif:

Aucun correctif n'est disponible pour le moment, ce défaut de sécurité ayant été découvert alors qu'il était déjà exploité de façon malveillante (0-day), notamment par l'intermédiaire de sites Internet légitimes dont la sécurité a été compromise pour tenter d'en infecter les visiteurs.

Les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante:

- Désactiver la prise en charge du langage javascript dans le navigateur via sa barre d'outils ou certaines extensions telles que NoScript pour Firefox (cette solution ne fait pas disparaître la vulnérabilité mais limite fortement les possibilités d'exploitation de la faille et/ou d'autres failles combinées)

- Désinstaller le plug-in Flash Player (Menu Démarrer -> Panneau de Configuration -> Ajout/suppression de programmes) en attendant la disponibilité d'un correctif (cette solution risque toutefois de perturber de manière importante l'apparence et/ou le fonctionnement de certains sites Internet).

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

[Malekal_morte]

Ouais et comme tout le monde a ce formidaaaaaaaable programme, j'vous dis pas comment les auteurs de malwares doivent être happy.
Bref utilisez Firefox Sécurisé : https://www.malekal.com/securiser_Firefox.php

[Cyborg]

Simple question : tu les lits avec quoi, les animations Flash, Malekal?

[Malekal_morte]

Flash, il doit être installé.
Mais comme j'ai noscript, je les bloque en général.

Bref je les vois rarement.

[Contact75]

Addendum :

En France pas mal de sites connus ont été piégé :

- Microsoft (quelques pages de l'encyclopédie en ligne de Microsoft, fr.encarta.msn.com)
- Allocine
- Un Aeroport Français (dans le Var)

et pour les amateurs de bombes à eau : durex.com

Au total : 30.000 autre sites web attaqués pour l'instant

[Cyborg]

Flash, il doit être installé.
Mais comme j'ai noscript, je les bloque en général.

Quoi? Noscript bloque le flash?
Vu que j'en ai une à la maison qui me tuerait si elle ne pouvait pas jouer aux divers jeux flashs qu'elle trouve... Ben va falloir que je trouve une solution de secours. Heureusement que mon PC perso est HS en ce moment...

Ah non, vu qu'elle a un compte utilisateur classique, même une faille dans le lecteur ne permettra pas d'installer de cochonneries. Je me trompe pas?

[Topxm]

Salut,
Tiens en parlant de Flash il paraitrait que l'installation du SP3 met une ancienne version de Flash

http://www.microsoft.com/technet/securi ... 6-069.mspx

La mise à jour est ici :

http://www.microsoft.com/downloads/deta ... laylang=en

Dernière version de Flash

http://www.adobe.com/shockwave/download ... kwaveFlash

[Sacles]

Bonjour,

Quoi? Noscript bloque le flash?

Bien sûr sauf ... si on autorise sur un ou des sites déterminés (principe des listes blanches). Voir l'onglet "Greffons" dans les options.

----------

A propos des mises à jour, ne pas oublier des visites régulières chez Secunia Inspector: http://secunia.com/software_inspector/

Salut.

[Contact75]

Salut,
Tiens en parlant de Flash il paraitrait que l'installation du SP3 met une ancienne version de Flash

En fait oui et non -)

Au moment de la conception du SP3 c'était la version en vigueur
Problème, Adobe a sorti une nouvelle version juste après

Dans les faits : En installant le SP3 on a effectivement une ancienne version du flash

[Invité]

Salut, impressionnant quand même ce qu'on peut faire avec Flash. Mais qui a dit que ce truc est inoffensif LOL.

Vérifiez votre version ici : http://www.adobe.com/products/flash/about/

Pour moi, le SP3 de Windows XP n'a pas modifié Flash qui est à la version 9.0.124 (celle conseillée si j'en crois ce site).

D'après le site d'Avira, Antivir détecte déjà cette faille :

http://www.avira.com/en/security_news/s ... layer.html

Sous le nom EXP/Flash.Gen

Donc Antivir devrait déjà bloquer la source infectieuse (le fichier flash). Pas de soucis donc.

[Malekal_morte]

Salut,
Tiens en parlant de Flash il paraitrait que l'installation du SP3 met une ancienne version de Flash

En fait oui et non -)

Au moment de la conception du SP3 c'était la version en vigueur
Problème, Adobe a sorti une nouvelle version juste après

Dans les faits : En installant le SP3 on a effectivement une ancienne version du flash

Ils ont mis la version qui possède des vulnérabilités? :p

[Topxm]

Il paraitrait que Oui

Regardes les dates de parution dans le 1er lien
http://www.microsoft.com/technet/securi ... 6-069.mspx

A priori il auraient fait la boulette à la sortie du SP2 et à la sortie du SP3

Je sais où updater un SP2 mais ce sera que lundi prochain, car ce que je voudrais contrôler c'est que si tu as la dernière version : 9.0.124.0 que l'install du SP3 ne colle pas la version 9.0.115.0
Je vous tiens au jus dès que j'ai des news

[EDIT] j'ai passé quelques PC en SP3 et j'ai pas l'impression d'avoir eu le cas, bizarre

[Yoh]

Aucun changement dans la version de Flash Playeur avec l'installation du SP3 pour moi non plus.

[Contact75]

Il paraitrait que Oui

Regardes les dates de parution dans le 1er lien
http://www.microsoft.com/technet/securi ... 6-069.mspx

A priori il auraient fait la boulette à la sortie du SP2 et à la sortie du SP3

[EDIT] j'ai passé quelques PC en SP3 et j'ai pas l'impression d'avoir eu le cas, bizarre

Non non il n'y a pas eu boulette
La nouvelle version du flash, celle qui a la faille découverte récemment, n'était pas encore sortie lors de la conception du SP3

Par contre cela a été rectifié depuis peu, parce que j'ai téléchargé une version SP3 il y a 2 jours et j'ai bien la version
9.0.124

[Sacles]

Bonjour,

De toute façon, il faut faire des visites régulières chez Secunia Inspectot. Votre Flash est à jour aujourd'hui à 10h00, il ne le sera peut-être plus à 10h30.

Pas de quoi en faire l'affaire du siècle.

Salut.