Flash : deux failles zero-day découvertes par une société russe qui les intègre à son outil de test d'intrusion, Mac OS également concerné
Le 12/12/2011, par Gordon Fowler, Chroniqueur Actualités
Une société spécialisée russe vient d’annoncer par la voix de son PDG qu’elle avait découvert deux failles “zero day” dans le lecteur Flash d’Adobe. Et qu’elle n’avait pas l’intention de partager ses découvertes et son expertise avec l’éditeur américain.
Intevydis va en revanche intégrer sa découverte à l’un de ses outils payant de test d’intrusion, VulnDisco.
D’après son PDG, ces vulnérabilités, actuellement sans aucun correctif donc, permettent d'exécuter du code malicieux à distance sur une machine. Le bac à sable d’un navigateur comme IE 9 et les nouvelles protections de Windows 7 (DEP/ASLR) n’y changeraient rien. Chrome et Mac OS seraient également concernés.
Ces deux vulnérabilités de Flash n’auraient toutefois pas encore été utilisées dans des attaques connues. Le temps pour Adobe de travailler sur des correctifs.
En attendant un correctif d’Adobe, le mieux reste encore de désactiver Flash dans les navigateurs (hors sites de confiance) avec, par exemple, une extension comme Flashblock.
Une autre méthode plus radicale, sous Chrome, consiste à taper chrome://settings/content dans la barre de navigation, de bloquer tous les plug-in, puis de définir manuellement des exceptions pour certains sites de confiance. Comme Developpez.com et Developpez.net par exemple.
Source : Annonce de la faille zero day par Intevydis
Et vous ?
Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?
Intevydis va en revanche intégrer sa découverte à l’un de ses outils payant de test d’intrusion, VulnDisco.
D’après son PDG, ces vulnérabilités, actuellement sans aucun correctif donc, permettent d'exécuter du code malicieux à distance sur une machine. Le bac à sable d’un navigateur comme IE 9 et les nouvelles protections de Windows 7 (DEP/ASLR) n’y changeraient rien. Chrome et Mac OS seraient également concernés.
Ces deux vulnérabilités de Flash n’auraient toutefois pas encore été utilisées dans des attaques connues. Le temps pour Adobe de travailler sur des correctifs.
En attendant un correctif d’Adobe, le mieux reste encore de désactiver Flash dans les navigateurs (hors sites de confiance) avec, par exemple, une extension comme Flashblock.
Une autre méthode plus radicale, sous Chrome, consiste à taper chrome://settings/content dans la barre de navigation, de bloquer tous les plug-in, puis de définir manuellement des exceptions pour certains sites de confiance. Comme Developpez.com et Developpez.net par exemple.
Source : Annonce de la faille zero day par Intevydis
Et vous ?
Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?
Poster une réponse
