Trend Micro découvre une vulnérabilité 0-day affectant la dernière version de Flash
La faille est activement exploitée par les pirates
Le 2015-02-04 09:04:47, par Michael Guilloux, Chroniqueur Actualités
Trend Micro a découvert une nouvelle faille de sécurité qui affecte le plugin Flash Player d'Adobe. Cette vulnérabilité a été activement exploitée par les pirates depuis le 17 janvier pour infecter les PC via des annonces publicitaires compromises. Selon Peter Pi, analyste des menaces chez Trend, cette menace n'épargne en aucun cas la dernière version de Flash.
« Nos chercheurs ont découvert un nouvel exploit zero-day dans Adobe Flash utilisé dans des attaques via des annonces malveillantes. L'exploit affecte la version la plus récente d'Adobe Flash, et est maintenant identifié par la référence CVE-2015-0313.» A-t-il écrit sur le blog de l'entreprise.
Parmi les versions affectées par cette vulnérabilité, on compte Adobe Flash Player 16.0.0.296 et les versions antérieures pour Windows et Macintosh, Flash 13.0.0.264 et les versions 13.x antérieures, ainsi qu'Adobe Flash Player 11.2.202.440 et les versions antérieures pour Linux.
Toutes ces versions auront donc besoin de mise à jour alors que la vulnérabilité a été catégorisée critique par Adobe.
L'entreprise de sécurité note que plusieurs sites populaires pourraient rediriger les visiteurs vers un site compromis qui héberge l'exploit. « Selon nos données, les visiteurs du site populaire dailymotion.com ont été redirigés vers une série de sites qui a finalement conduit à l'URL hxxp: //www.retilio.com/skillt.swf, où l'exploit a été hébergé. Il est important de noter que l'infection se produit automatiquement, puisque les annonces sont conçues pour se charger une fois qu'un utilisateur visite un site. Il est probable que ce n'était pas limité au site Dailymotion seul, puisque l'infection a été déclenchée à partir de la plateforme de publicité et non du contenu du site lui-même. »
Peter Pi fait savoir que plus de 3000 résultats liés à l'exploit ont été observés et que d'autres attaques auraient pu tirer parti de cette vulnérabilité. Après avoir suspecté le kit d'exploits Angler, Trend Micro a annoncé que le kit d'exploits utilisé dans cette attaque est celui connu sous le nom de Hanjuan.
Adobe a confirmé la menace en mettant en garde les utilisateurs sur le fait que la vulnérabilité est activement exploitée via des attaques par téléchargements cachés contre les systèmes exécutant Internet Explorer et Firefox sous Windows 8.1 et les versions antérieures. L'entreprise a par ailleurs annoncé qu'un patch devrait être disponible cette semaine pour corriger le problème. Mais pour l'heure, la solution idéale serait de désactiver le plugin Flash Player.
Ce sera maintenant le 3è patch de sécurité pour Flash en seulement 2 semaines. Beaucoup d'utilisateurs pensent que le plugin vieillissant ne répond plus au contexte de sécurité actuel, et YouTube a même fini par le laisser tomber pour la vidéo HTML5. Cette nouvelle faille va-t-elle augmenter le doute sur le plugin d'Adobe?
Sources: Trend Micro, Adobe Security Bulletin
Et vous?
« Nos chercheurs ont découvert un nouvel exploit zero-day dans Adobe Flash utilisé dans des attaques via des annonces malveillantes. L'exploit affecte la version la plus récente d'Adobe Flash, et est maintenant identifié par la référence CVE-2015-0313.» A-t-il écrit sur le blog de l'entreprise.
Parmi les versions affectées par cette vulnérabilité, on compte Adobe Flash Player 16.0.0.296 et les versions antérieures pour Windows et Macintosh, Flash 13.0.0.264 et les versions 13.x antérieures, ainsi qu'Adobe Flash Player 11.2.202.440 et les versions antérieures pour Linux.
Toutes ces versions auront donc besoin de mise à jour alors que la vulnérabilité a été catégorisée critique par Adobe.
L'entreprise de sécurité note que plusieurs sites populaires pourraient rediriger les visiteurs vers un site compromis qui héberge l'exploit. « Selon nos données, les visiteurs du site populaire dailymotion.com ont été redirigés vers une série de sites qui a finalement conduit à l'URL hxxp: //www.retilio.com/skillt.swf, où l'exploit a été hébergé. Il est important de noter que l'infection se produit automatiquement, puisque les annonces sont conçues pour se charger une fois qu'un utilisateur visite un site. Il est probable que ce n'était pas limité au site Dailymotion seul, puisque l'infection a été déclenchée à partir de la plateforme de publicité et non du contenu du site lui-même. »
Peter Pi fait savoir que plus de 3000 résultats liés à l'exploit ont été observés et que d'autres attaques auraient pu tirer parti de cette vulnérabilité. Après avoir suspecté le kit d'exploits Angler, Trend Micro a annoncé que le kit d'exploits utilisé dans cette attaque est celui connu sous le nom de Hanjuan.
Adobe a confirmé la menace en mettant en garde les utilisateurs sur le fait que la vulnérabilité est activement exploitée via des attaques par téléchargements cachés contre les systèmes exécutant Internet Explorer et Firefox sous Windows 8.1 et les versions antérieures. L'entreprise a par ailleurs annoncé qu'un patch devrait être disponible cette semaine pour corriger le problème. Mais pour l'heure, la solution idéale serait de désactiver le plugin Flash Player.
Ce sera maintenant le 3è patch de sécurité pour Flash en seulement 2 semaines. Beaucoup d'utilisateurs pensent que le plugin vieillissant ne répond plus au contexte de sécurité actuel, et YouTube a même fini par le laisser tomber pour la vidéo HTML5. Cette nouvelle faille va-t-elle augmenter le doute sur le plugin d'Adobe?
Sources: Trend Micro, Adobe Security Bulletin
Et vous?
-
pcabocheRédacteurUtilisation principale de Flash de nos jours :
1. ouvrir des pubs (souvent des pubs vidéo super intrusives, et qui bouffent de la bande passante pour rien)
2. propager des malwares
C'est malheureux à dire, mais si Flash venait à disparaître, ça ne serait pas une grosse perte...le 04/02/2015 à 12:08 -
eldran64Membre extrêmement actifOn dirait que c'est devenu une mode les exploits de failles du célèbre lecteur...
Me reste plus qu'à formater ma bécane et à désactiver flash une fois pour toute...le 04/02/2015 à 9:37 -
AoCannailleExpert confirméJe croyais qu'une faille zero-day était une faille découverte avant la fin de la maintenance mais non utilisé tant que l'application était maintenu pour pouvoir l'utiliser justement dès qu'elle ne sera plus jamais corrigé.
à ce titre cette défaillance affectant la dernière version de Flash (supportée donc) va être corrigée.
En quoi est-ce une faille zéro-day?le 04/02/2015 à 12:16 -
Mc geekMembre habituéUne faille zéro-day étant une faille dont personne ne connaissait l'existence, cette faille est effectivement une faille zéro-day.le 04/02/2015 à 12:40
-
AoCannailleExpert confirméQue des articules grand public "distillent" le sens d'une notion précise pourquoi pas, même si la vulgarisation n'impose pas l'imprécision, mais qu'un article par et pour des informaticiens le fasse, ça me gène plus quand mêmele 04/02/2015 à 14:25
-
23JFKMembre expertIl suffit de paramétrer le plugin flash pour qu'il demande l'autorisation avant de s'exécuter dans des pages du navigateur. Et de choisir ensuite, au cas par cas quand l'on souhaite visionner le contenu flash verrouillé. C'est-à-dire, dans les faits, quasi uniquement pour visionner la vidéo principale des sites comme youtube et dailymotion. La protection peut même être doublée en faisant usage d'un bloqueur de pub.le 04/02/2015 à 15:56
-
UtherExpert éminent séniorNon. La définition d'une faille 0-day, c'est qu'il s'agit d'une faille qui est découverte et utilisée malicieusement avant que l'auteur de l'application ne fasse un correctif.
Il se peut que certains pirates qui découvrent une faillent 0-day attendent la fin du support pour être sur qu'ils n'y aura jamais de correctif. Mais la plupart des pirates les utilisent immédiatement profitant de la faille pendant le temps que l'auteur du logiciel mettra à la découvrir et la corriger en plus du temps que les utilisateur a mettre à jour.
Je dirais au contraire qu'il a une définition plutôt claire. Et en l’occurrence il convient parfaitement.le 04/02/2015 à 17:24 -
agodfrinMembre régulierHeureusement Youtube permet de voir ses videos sans Flash!le 07/02/2015 à 18:55
-
pcabocheRédacteurTout dépend si :
1. des personnes bien intentionnées (auteur ou autres) sont au courant de l'existence de la faille
2. un correctif existe
3. des personnes mal intentionnées sont au courant et exploitent la faille dans les versions affectées (celles d'avant le correctif)
Dans tous les cas c'est une faille, même si personne n'est au courant (pour prendre une analogie : un arbre qui tombe dans la forêt fait-il du bruit si personne ne l'entend tomber ?).
C'est une faille "0-day" si 3 est vraie et 2 est fausse (et quelle que soit la valeur de 1).le 09/02/2015 à 19:05 -
UtherExpert éminent séniorJe ne crois pas qu'il y ait un nom particulier, mais mais la très grande majorité des failles de sécurité exploitées par les pirates ont des correctifs. Ils profitent du fait qu'une partie des utilisateurs n'installent pas les patchs ou tardent trop à le faire.
La définition d'une faille de sécurité, c'est une vulnérabilité dans le code ou une erreur de conception exploitable pour engendrer un comportement indésirable de l'application, comme par exemple la planter(DOS), prendre le contrôle de la machine ou accéder à des données auxquelles on ne devrait pas avoir droit.
Le plus souvent la faille est découverte par l'éditeur lui même, parfois par des utilisateurs ou des sociétés de sécurité qui contactent l'éditeur. Ainsi le correctif est disponible avant que les personnes mal intentionnés commencent à l'utiliser. Mais le fait qu'il y ait besoin d'un correctif est bien la preuve qu'il y avait une faille.
On parle de faille 0-day uniquement quand la faille a été découverte et exploitée malicieusement par des pirates avant qu'un correctif soit disponible.le 10/02/2015 à 9:39