Developpez.com

Le Club des Développeurs et IT Pro

Flash : deux failles zero-day découvertes

Par une société russe qui les intègre à son outil de test d'intrusion, Mac OS également concerné

Le 2011-12-12 12:44:09, par Gordon Fowler, Expert éminent sénior
Une société spécialisée russe vient d’annoncer par la voix de son PDG qu’elle avait découvert deux failles “zero day” dans le lecteur Flash d’Adobe. Et qu’elle n’avait pas l’intention de partager ses découvertes et son expertise avec l’éditeur américain.

Intevydis va en revanche intégrer sa découverte à l’un de ses outils payant de test d’intrusion, VulnDisco.

D’après son PDG, ces vulnérabilités, actuellement sans aucun correctif donc, permettent d'exécuter du code malicieux à distance sur une machine. Le bac à sable d’un navigateur comme IE 9 et les nouvelles protections de Windows 7 (DEP/ASLR) n’y changeraient rien. Chrome et Mac OS seraient également concernés.


Ces deux vulnérabilités de Flash n’auraient toutefois pas encore été utilisées dans des attaques connues. Le temps pour Adobe de travailler sur des correctifs.

En attendant un correctif d’Adobe, le mieux reste encore de désactiver Flash dans les navigateurs (hors sites de confiance) avec, par exemple, une extension comme Flashblock.

Une autre méthode plus radicale, sous Chrome, consiste à taper chrome://settings/content dans la barre de navigation, de bloquer tous les plug-in, puis de définir manuellement des exceptions pour certains sites de confiance. Comme Developpez.com et Developpez.net par exemple.

Source : Annonce de la faille zero day par Intevydis

Et vous ?

Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?
  Discussion forum
10 commentaires
  • tontonnux
    Membre expérimenté
    Au final, on a quoi comme preuve qu'ils ont bien découvert quelque chose et que ce n'est pas d'une tentative d'escroquerie du genre : "nous sommes les seules à pouvoir vous protéger de la menace fantôme" ?
    le 12/12/2011 à 14:53
  • Uther
    Expert éminent sénior
    Oui et non. La méthode est certes à la limite du racket, mais ce n'est pas non plus normal qu'Adobe néglige la sécurité et que des tiers s'en s'occupent à sa place.

    Le système de prime de Chrome et Firefox à le mérite d'être équitable pour les deux parties.
    le 12/12/2011 à 18:17
  • Hellwing
    Membre chevronné
    Envoyé par Uther
    Oui et non. La méthode est certes à la limite du racket, mais ce n'est pas non plus normal qu'Adobe néglige la sécurité et que des tiers s'en s'occupent à sa place.

    Le système de prime de Chrome et Firefox à le mérite d'être équitable pour les deux parties.
    Ce n'est pas non plus normal de ne pas fournir les informations nécessaires pour colmater les failles au plus vite.

    C'est sûr que si Adobe doit partir de l'information "Il existe deux failles zero-day dans le lecteur Flash", ils ne sont pas près de les corriger.
    le 13/12/2011 à 11:26
  • Hellwing
    Membre chevronné
    Je trouve que c'est un comportement de gamin de révéler qu'on connait des failles, sans aider Adobe à la corriger. Vous savez, du genre "J'ai trouvé des trucs et j'te le dirai pas parce que t'es pas mon copain ! Tralalèreuh !"

    On parle de sécurité, bon dieu, c'est pas une affaire à prendre à la légère, business ou pas !
    le 12/12/2011 à 14:10
  • katcha95
    Membre régulier
    Trop d'accord avec tontonnux, c'est peut-être aussi un gros buzz autour de leur produit ...
    le 12/12/2011 à 15:31
  • MonsieurSmith
    Membre habitué
    Ça ressemble à une tentative de racket, oui.
    le 12/12/2011 à 16:23
  • Uther
    Expert éminent sénior
    Je n'ai pas dit que la méthode de la société était la bonne non plus, loin de là. Mais Adobe a tant négligé la sécurité de produits pourtant très exposés comme Flash ou Reader, que ce n'est pas non plus normal que des sociétés tierces fassent son travail bénévolement.
    le 13/12/2011 à 11:49
  • Hellwing
    Membre chevronné
    Envoyé par Uther
    Je n'ai pas dit que la méthode de la société était la bonne non plus, loin de là. Mais Adobe a tant négligé la sécurité de produits pourtant très exposés comme Flash ou Reader, que ce n'est pas non plus normal que des sociétés tierces fassent son travail bénévolement.
    Ben il s'agit d'une société spécialisée dans la sécurité. Alors forcément en proposant des outils de test d'intrusion, elle fait un peu le boulot de toutes les entreprises qui ont des produits ayant des failles de sécurité.
    le 13/12/2011 à 11:55
  • nextdev
    Membre actif
    Ou bien ces russes sont de mèche avec adobe pour enfoncer un peu plus flash...
    le 13/12/2011 à 4:20
  • mala92
    Membre émérite
    Envoyé par Gordon Fowler
    Et vous ?

    Une société spécialisée en recherche informatique refuse de collaborer avec des éditeurs si ceux-ci ne sont pas “clients” chez eux : vous trouvez cela normal (c’est le business) ou pas du tout (la collaboration devrait être la règle indépassable dans ce domaine) ?
    Pas normal, mais bon, ils ne font peut-être pas ça à toutes les sociétés. C'est peut-être lié à la politique du "tout fermé" menée par Adobe (et Microsoft) entre autre.
    le 12/12/2011 à 13:00
  Poster une réponse