Flash : deux failles zero-day découvertes
Par une société russe qui les intègre à son outil de test d'intrusion, Mac OS également concerné

Le , par Gordon Fowler, Expert éminent sénior
Une société spécialisée russe vient d’annoncer par la voix de son PDG qu’elle avait découvert deux failles “zero day” dans le lecteur Flash d’Adobe. Et qu’elle n’avait pas l’intention de partager ses découvertes et son expertise avec l’éditeur américain.

Intevydis va en revanche intégrer sa découverte à l’un de ses outils payant de test d’intrusion, VulnDisco.

D’après son PDG, ces vulnérabilités, actuellement sans aucun correctif donc, permettent d'exécuter du code malicieux à distance sur une machine. Le bac à sable d’un navigateur comme IE 9 et les nouvelles protections de Windows 7 (DEP/ASLR) n’y changeraient rien. Chrome et Mac OS seraient également concernés.


Ces deux vulnérabilités de Flash n’auraient toutefois pas encore été utilisées dans des attaques connues. Le temps pour Adobe de travailler sur des correctifs.

En attendant un correctif d’Adobe, le mieux reste encore de désactiver Flash dans les navigateurs (hors sites de confiance) avec, par exemple, une extension comme Flashblock.

Une autre méthode plus radicale, sous Chrome, consiste à taper chrome://settings/content dans la barre de navigation, de bloquer tous les plug-in, puis de définir manuellement des exceptions pour certains sites de confiance. Comme Developpez.com et Developpez.net par exemple.

Source : Annonce de la faille zero day par Intevydis

Et vous ?

Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de mala92 mala92 - Membre émérite https://www.developpez.com
le 12/12/2011 à 13:00
Citation Envoyé par Gordon Fowler  Voir le message
Et vous ?

Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?

Pas normal, mais bon, ils ne font peut-être pas ça à toutes les sociétés. C'est peut-être lié à la politique du "tout fermé" menée par Adobe (et Microsoft) entre autre.
Avatar de Hellwing Hellwing - Membre chevronné https://www.developpez.com
le 12/12/2011 à 14:10
Je trouve que c'est un comportement de gamin de révéler qu'on connait des failles, sans aider Adobe à la corriger. Vous savez, du genre "J'ai trouvé des trucs et j'te le dirai pas parce que t'es pas mon copain ! Tralalèreuh !"

On parle de sécurité, bon dieu, c'est pas une affaire à prendre à la légère, business ou pas !
Avatar de tontonnux tontonnux - Membre expérimenté https://www.developpez.com
le 12/12/2011 à 14:53
Au final, on a quoi comme preuve qu'ils ont bien découvert quelque chose et que ce n'est pas d'une tentative d'escroquerie du genre : "nous sommes les seules à pouvoir vous protéger de la menace fantôme" ?
Avatar de katcha95 katcha95 - Membre régulier https://www.developpez.com
le 12/12/2011 à 15:31
Trop d'accord avec tontonnux, c'est peut-être aussi un gros buzz autour de leur produit ...
Avatar de MonsieurSmith MonsieurSmith - Membre habitué https://www.developpez.com
le 12/12/2011 à 16:23
Ça ressemble à une tentative de racket, oui.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 12/12/2011 à 18:17
Oui et non. La méthode est certes à la limite du racket, mais ce n'est pas non plus normal qu'Adobe néglige la sécurité et que des tiers s'en s'occupent à sa place.

Le système de prime de Chrome et Firefox à le mérite d'être équitable pour les deux parties.
Avatar de nextdev nextdev - Membre actif https://www.developpez.com
le 13/12/2011 à 4:20
Ou bien ces russes sont de mèche avec adobe pour enfoncer un peu plus flash...
Avatar de Hellwing Hellwing - Membre chevronné https://www.developpez.com
le 13/12/2011 à 11:26
Citation Envoyé par Uther  Voir le message
Oui et non. La méthode est certes à la limite du racket, mais ce n'est pas non plus normal qu'Adobe néglige la sécurité et que des tiers s'en s'occupent à sa place.

Le système de prime de Chrome et Firefox à le mérite d'être équitable pour les deux parties.

Ce n'est pas non plus normal de ne pas fournir les informations nécessaires pour colmater les failles au plus vite.

C'est sûr que si Adobe doit partir de l'information "Il existe deux failles zero-day dans le lecteur Flash", ils ne sont pas près de les corriger.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 13/12/2011 à 11:49
Je n'ai pas dit que la méthode de la société était la bonne non plus, loin de là. Mais Adobe a tant négligé la sécurité de produits pourtant très exposés comme Flash ou Reader, que ce n'est pas non plus normal que des sociétés tierces fassent son travail bénévolement.
Avatar de Hellwing Hellwing - Membre chevronné https://www.developpez.com
le 13/12/2011 à 11:55
Citation Envoyé par Uther  Voir le message
Je n'ai pas dit que la méthode de la société était la bonne non plus, loin de là. Mais Adobe a tant négligé la sécurité de produits pourtant très exposés comme Flash ou Reader, que ce n'est pas non plus normal que des sociétés tierces fassent son travail bénévolement.

Ben il s'agit d'une société spécialisée dans la sécurité. Alors forcément en proposant des outils de test d'intrusion, elle fait un peu le boulot de toutes les entreprises qui ont des produits ayant des failles de sécurité.
Offres d'emploi IT
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil