Adobe publie une mise à jour de Flash Player pour corriger deux vulnérabilités critiques
Y compris celle exploitée par des hackers nord-coréens
Le 2018-02-05 13:37:27, par Michael Guilloux, Chroniqueur Actualités
Mise à jour le 07/02/2018 : Adobe corrige la vulnérabilité zero-day critique de Flash Player exploitée activement par des hackers nord-coréens
Adobe a mis à jour Flash Player pour corriger la vulnérabilité zero-day critique qui a été exploitée par un groupe de hackers prétendument nord-coréens dans des attaques visant des cibles en Corée du Sud. La vulnérabilité en question, de type Use After Free (UAF) et répertoriée sous le nom CVE-2018-4878, affecte Flash Player 28.0.0.137 et les versions antérieures sur Mac, Linux, Windows et Chrome OS.
La mise à jour de Flash Player (version 28.0.0.161) devrait corriger cette vulnérabilité, mais également une autre vulnérabilité critique également de type UAF, répertoriée sous le nom CVE-2018-4877, qui permet l'exécution de code à distance. Cette dernière a été rapportée à Adobe par bo13oy de Qihoo 360 Vulcan Team via la Zero Day Initiative (ZDI) de Trend Micro. Adobe ne semble pas avoir connaissance d'attaques ayant exploité la vulnérabilité CVE-2018-4877.
Source : Adobe
Adobe a mis à jour Flash Player pour corriger la vulnérabilité zero-day critique qui a été exploitée par un groupe de hackers prétendument nord-coréens dans des attaques visant des cibles en Corée du Sud. La vulnérabilité en question, de type Use After Free (UAF) et répertoriée sous le nom CVE-2018-4878, affecte Flash Player 28.0.0.137 et les versions antérieures sur Mac, Linux, Windows et Chrome OS.
La mise à jour de Flash Player (version 28.0.0.161) devrait corriger cette vulnérabilité, mais également une autre vulnérabilité critique également de type UAF, répertoriée sous le nom CVE-2018-4877, qui permet l'exécution de code à distance. Cette dernière a été rapportée à Adobe par bo13oy de Qihoo 360 Vulcan Team via la Zero Day Initiative (ZDI) de Trend Micro. Adobe ne semble pas avoir connaissance d'attaques ayant exploité la vulnérabilité CVE-2018-4877.
Source : Adobe
La vulnérabilité en question ici, répertoriée sous le nom CVE-2018-4878, réside dans la dernière version de Flash, d'après les chercheurs de Talos, la branche de sécurité du groupe Cisco Systems. Mais dans son bulletin de sécurité, Adobe a déclaré que les versions antérieures à Flash 28.0.0.137 sont également vulnérables. Cette faille est actuellement activement exploitée d'après le CERT (Computer Emergency Response Team) de la Corée du Sud et Talos.
Dans leur avis de sécurité publié vendredi dernier, les chercheurs de Talos ont révélé que l'exploit est distribué via un document Microsoft Excel contenant un objet SWF (Flash) malveillant. L'exploit s'exécute à l'ouverture du document afin de télécharger une charge utile supplémentaire à partir d'un site Web compromis. Talos a identifié que plusieurs des sites compromis hébergeaient un shellcode utilisé pour extraire et exécuter une variante de ROKRAT, un outil d'administration à distance bien connu que la branche de sécurité de Cisco suit depuis un bon moment.
Le groupe 123 s'est concentré presque exclusivement sur l'infection de cibles situées en Corée du Sud. Un avis de sécurité publié par Talos en janvier indique en plus que les membres du groupe 123 parlent parfaitement le coréen et connaissent parfaitement la région de la péninsule de Corée. Talos n'a toutefois pas lié ce groupe à la Corée du Nord, même si des chercheurs en sécurité sud-coréens pensent que l'exploit de Flash est l'œuvre de la Corée du Nord.
Jusqu'à présent, le groupe derrière ROKRAT (baptisé Groupe 123) ne s'était appuyé que sur l'ingénierie sociale ou les exploits de vulnérabilités plus anciennes et connues que les cibles n'avaient pas encore patchées. D'après Talos, c'est la première fois que le groupe utilise un exploit zero-day ; ce qui veut dire pour les chercheurs de Talos qu'il est plus avancé qu'ils le croyaient. « Le groupe 123 a maintenant rejoint une partie de l'élite criminelle avec cette dernière charge utile de ROKRAT », ont écrit Warren Mercer et Paul Rascagneres, chercheurs de Talos. « Ils ont utilisé une vulnérabilité 0-day dans Adobe Flash qui était en dehors de leurs capacités précédentes – ils utilisaient des exploits dans les campagnes précédentes, mais jamais un nouvel exploit comme ils l'ont fait maintenant. Ce changement représente une évolution majeure dans la maturité du Groupe 123, nous pouvons maintenant considérer de manière certaine le Groupe 123 comme un groupe hautement qualifié, hautement motivé et hautement sophistiqué. »
Adobe a annoncé qu'il prévoit de publier une version corrigée de Flash cette semaine. Ci-dessous la liste des produits et plateformes affectées :
Produits | Versions | Plateformes |
Adobe Flash Player Desktop Runtime | 28.0.0.137 et versions antérieures | Windows, Mac et Linux |
Adobe Flash Player pour Google Chrome | 28.0.0.137 et versions antérieures | Windows, Mac, Linux et Chrome OS |
Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 | 28.0.0.137 et versions antérieures | Windows 10 et 8.1 |
Sources : Talos, Adobe
Et vous ?
-
transgohanExpert éminentQu'en pensez-vous ?
Utilisez-vous encore Adobe Flash Player ?
Mon plugin flash est désactivé de base dans le navigateur, et concernant les documents (office et compagnie) je ne les ouvre jamais en laissant les macros et autre joyeuseté s'exécuter. Voire je les fuis préférant le format PDF.
Croyez-vous que les risques de sécurité liés à Flash sont acceptables par rapport à ses avantages ?le 05/02/2018 à 14:35 -
transgohanExpert éminentLa faille n'est pas dans Office mais dans Flash.
Donc c'est reproductible avec toute suite bureautique qui permet l'ajout d'objet flash.le 06/02/2018 à 11:14 -
transgohanExpert éminentJe crains de ne pas comprendre...
Autant ma question avait de l'intérêt (savoir si ce genre de faille se monnaie facilement sur le marché noir), autant la votre, accompagnée de vos affabulation sur ma méthode de pensée qui fait doucement penser à du racisme, est en effet digne d'un manque de réflexion.
Attention à la modération, conseil que je vous prodigue.le 07/02/2018 à 11:28 -
arondMembre expérimentéHum suis je le seul à trouver cette remarque fortement amusante venant de quelqu'un qui se prétend collégien ?le 07/02/2018 à 11:31
-
AiekickMembre extrêmement actifou tout simplement hautement financé. des failles zero day ca s'achete aussile 05/02/2018 à 19:03
-
BenaeSanMembre régulierIdem, il est désactivé par défaut, mais me sert toujours pour Deezer. D’ailleurs je ne comprends toujours pas comment en 2018, Deezer n'est pas passé à une autre technologie que ça. Sauf à part peut être pour une sombre histoire de DRM.le 05/02/2018 à 14:46
-
henri_bMembre du ClubSi les gens continuent à ouvrir des fichiers (excel ou autre) reçus dans leur bote mail et envoyé par des inconnus, le problème n'est même pas d'ordre technologique... car des failles il y en a partout, c'est quasi la norme en informatique. Vraiement, le problème est ailleurs...le 05/02/2018 à 15:00
-
RyzenOCInactifla photo montre Office 2007 qui n'est plus supporté par MS...
La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.
Pour la Corée du Sud, grande utilisatrice d'activX, je pense que Flash c'est le cadet de ces soucisle 05/02/2018 à 17:51 -
AiekickMembre extrêmement actifle 05/02/2018 à 19:04
-
arondMembre expérimenté2007 est encore largement utiliser en entreprise (la où je bosse on a 2000 jolies petits pc sous win7 avec le pack office 2007)le 06/02/2018 à 8:38