Les plug-ins Flash Player et Java ont connu leurs jours sombres en ce début d’année 2015. En effet, ils ont été frappés par plusieurs vulnérabilités découvertes et exploitées dans le cas de Flash par des malwares. Revenons sur les faits.Le 20 janvier 2015, le concepteur de solutions de sécurité Trendmicro a détecté une vulnérabilité de type zero day dans le plug-in Flash. Elle a été référencée chez Adobe sous le numéro CVE-2015-0310 et affecte différentes versions installées sous Windows. Cette faille permettait d’exécuter arbitrairement du code malicieux afin de corrompre la mémoire du système et de l’infecter. Un patch a été édité depuis le 22 janvier.
Pour rappel, une vulnérabilité zero day est une faille n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif.
Après la détection de cette première faille, deux jours seulement ont suffi pour qu’une seconde vulnérabilité de type zero day voie le jour. Cette fois, elle a été référencée par Adobe sous le numéro CVE-2015-0311. Elle affectait toutes les plateformes à savoir Windows, Mac, Linux et permettait à un malware de s’exécuter ou de télécharger des fichiers infectés pour s’exécuter sur la plateforme. Quelques jours après cette découverte c’est-à-dire le 24 janvier, Adobe a sorti progressivement des correctifs.
Il faut souligner que ces deux failles ont été exploitées par le malware Angler qui utilisait un kit d’exploitation pour infecter les systèmes.Et comme le dit l’adage, jamais deux sans trois.
Le 02 février dernier, une troisième faille a été à nouveau interceptée. Cette fois encore, elle était de type zero day et touchait les systèmes en redirigeant les pages web vers des liens infectés selon les dires de Trendmicro qui soupçonnait de prime abord Angler d’être à la base de cette infection même si d’autres sites prétendent le contraire. En tout état de cause, cette faille a été patchée depuis le 04 février par Adobe.
Flash n’a pas été le seul plug-in à faire les frais des failles à foison. Java également a dû sortir en janvier des correctifs pour dix-neuf failles dont quatorze permettaient à l’attaquant d’exécuter à distance du code sans authentification.
Comme on peut le constater, les plug-ins débutent l’année 2015 avec plusieurs failles importantes. Nous espérons que cela permettra aux entreprises d’être plus regardantes sur l’aspect sécurité de leur produit. En attendant, il serait avantageux de ne pas activer automatiquement leur exécution pour réduire le risque d’infection.
Source : Adobe Blog, Oracle
Et vous ?
Que pensez-vous de toutes ces failles dans ces plug-ins ? Que comptez-vous faire pour les éviter? Avez-vous une solution à proposer ? 
. L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus 
.
Envoyé par amine.hirri
