IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Flash : deux failles zero-day découvertes
Par une société russe qui les intègre à son outil de test d'intrusion, Mac OS également concerné

Le , par Gordon Fowler

83PARTAGES

0  0 
Une société spécialisée russe vient d’annoncer par la voix de son PDG qu’elle avait découvert deux failles “zero day” dans le lecteur Flash d’Adobe. Et qu’elle n’avait pas l’intention de partager ses découvertes et son expertise avec l’éditeur américain.

Intevydis va en revanche intégrer sa découverte à l’un de ses outils payant de test d’intrusion, VulnDisco.

D’après son PDG, ces vulnérabilités, actuellement sans aucun correctif donc, permettent d'exécuter du code malicieux à distance sur une machine. Le bac à sable d’un navigateur comme IE 9 et les nouvelles protections de Windows 7 (DEP/ASLR) n’y changeraient rien. Chrome et Mac OS seraient également concernés.


Ces deux vulnérabilités de Flash n’auraient toutefois pas encore été utilisées dans des attaques connues. Le temps pour Adobe de travailler sur des correctifs.

En attendant un correctif d’Adobe, le mieux reste encore de désactiver Flash dans les navigateurs (hors sites de confiance) avec, par exemple, une extension comme Flashblock.

Une autre méthode plus radicale, sous Chrome, consiste à taper chrome://settings/content dans la barre de navigation, de bloquer tous les plug-in, puis de définir manuellement des exceptions pour certains sites de confiance. Comme Developpez.com et Developpez.net par exemple.

Source : Annonce de la faille zero day par Intevydis

Et vous ?

Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 12/12/2011 à 14:53
Au final, on a quoi comme preuve qu'ils ont bien découvert quelque chose et que ce n'est pas d'une tentative d'escroquerie du genre : "nous sommes les seules à pouvoir vous protéger de la menace fantôme" ?
2  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 12/12/2011 à 18:17
Oui et non. La méthode est certes à la limite du racket, mais ce n'est pas non plus normal qu'Adobe néglige la sécurité et que des tiers s'en s'occupent à sa place.

Le système de prime de Chrome et Firefox à le mérite d'être équitable pour les deux parties.
2  1 
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 13/12/2011 à 11:26
Citation Envoyé par Uther Voir le message
Oui et non. La méthode est certes à la limite du racket, mais ce n'est pas non plus normal qu'Adobe néglige la sécurité et que des tiers s'en s'occupent à sa place.

Le système de prime de Chrome et Firefox à le mérite d'être équitable pour les deux parties.
Ce n'est pas non plus normal de ne pas fournir les informations nécessaires pour colmater les failles au plus vite.

C'est sûr que si Adobe doit partir de l'information "Il existe deux failles zero-day dans le lecteur Flash", ils ne sont pas près de les corriger.
1  0 
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 12/12/2011 à 14:10
Je trouve que c'est un comportement de gamin de révéler qu'on connait des failles, sans aider Adobe à la corriger. Vous savez, du genre "J'ai trouvé des trucs et j'te le dirai pas parce que t'es pas mon copain ! Tralalèreuh !"

On parle de sécurité, bon dieu, c'est pas une affaire à prendre à la légère, business ou pas !
3  3 
Avatar de katcha95
Membre régulier https://www.developpez.com
Le 12/12/2011 à 15:31
Trop d'accord avec tontonnux, c'est peut-être aussi un gros buzz autour de leur produit ...
0  0 
Avatar de MonsieurSmith
Membre habitué https://www.developpez.com
Le 12/12/2011 à 16:23
Ça ressemble à une tentative de racket, oui.
0  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 13/12/2011 à 11:49
Je n'ai pas dit que la méthode de la société était la bonne non plus, loin de là. Mais Adobe a tant négligé la sécurité de produits pourtant très exposés comme Flash ou Reader, que ce n'est pas non plus normal que des sociétés tierces fassent son travail bénévolement.
1  1 
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 13/12/2011 à 11:55
Citation Envoyé par Uther Voir le message
Je n'ai pas dit que la méthode de la société était la bonne non plus, loin de là. Mais Adobe a tant négligé la sécurité de produits pourtant très exposés comme Flash ou Reader, que ce n'est pas non plus normal que des sociétés tierces fassent son travail bénévolement.
Ben il s'agit d'une société spécialisée dans la sécurité. Alors forcément en proposant des outils de test d'intrusion, elle fait un peu le boulot de toutes les entreprises qui ont des produits ayant des failles de sécurité.
1  1 
Avatar de nextdev
Membre actif https://www.developpez.com
Le 13/12/2011 à 4:20
Ou bien ces russes sont de mèche avec adobe pour enfoncer un peu plus flash...
0  1 
Avatar de mala92
Membre émérite https://www.developpez.com
Le 12/12/2011 à 13:00
Citation Envoyé par Gordon Fowler Voir le message
Et vous ?

Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?
Pas normal, mais bon, ils ne font peut-être pas ça à toutes les sociétés. C'est peut-être lié à la politique du "tout fermé" menée par Adobe (et Microsoft) entre autre.
0  3