Flash et Java se démarquent par leurs failles de sécurité
En début 2015

Le , par Olivier Famien

0PARTAGES

7  3 
Les plug-ins Flash Player et Java ont connu leurs jours sombres en ce début d’année 2015. En effet, ils ont été frappés par plusieurs vulnérabilités découvertes et exploitées dans le cas de Flash par des malwares. Revenons sur les faits.

Le 20 janvier 2015, le concepteur de solutions de sécurité Trendmicro a détecté une vulnérabilité de type zero day dans le plug-in Flash. Elle a été référencée chez Adobe sous le numéro CVE-2015-0310 et affecte différentes versions installées sous Windows. Cette faille permettait d’exécuter arbitrairement du code malicieux afin de corrompre la mémoire du système et de l’infecter. Un patch a été édité depuis le 22 janvier.

Pour rappel, une vulnérabilité zero day est une faille n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif.

Après la détection de cette première faille, deux jours seulement ont suffi pour qu’une seconde vulnérabilité de type zero day voie le jour. Cette fois, elle a été référencée par Adobe sous le numéro CVE-2015-0311. Elle affectait toutes les plateformes à savoir Windows, Mac, Linux et permettait à un malware de s’exécuter ou de télécharger des fichiers infectés pour s’exécuter sur la plateforme. Quelques jours après cette découverte c’est-à-dire le 24 janvier, Adobe a sorti progressivement des correctifs.

Il faut souligner que ces deux failles ont été exploitées par le malware Angler qui utilisait un kit d’exploitation pour infecter les systèmes.Et comme le dit l’adage, jamais deux sans trois.

Le 02 février dernier, une troisième faille a été à nouveau interceptée. Cette fois encore, elle était de type zero day et touchait les systèmes en redirigeant les pages web vers des liens infectés selon les dires de Trendmicro qui soupçonnait de prime abord Angler d’être à la base de cette infection même si d’autres sites prétendent le contraire. En tout état de cause, cette faille a été patchée depuis le 04 février par Adobe.

Flash n’a pas été le seul plug-in à faire les frais des failles à foison. Java également a dû sortir en janvier des correctifs pour dix-neuf failles dont quatorze permettaient à l’attaquant d’exécuter à distance du code sans authentification.

Comme on peut le constater, les plug-ins débutent l’année 2015 avec plusieurs failles importantes. Nous espérons que cela permettra aux entreprises d’être plus regardantes sur l’aspect sécurité de leur produit. En attendant, il serait avantageux de ne pas activer automatiquement leur exécution pour réduire le risque d’infection.

Source : Adobe Blog, Oracle

Et vous ?

Que pensez-vous de toutes ces failles dans ces plug-ins ?
Que comptez-vous faire pour les éviter?
Avez-vous une solution à proposer ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 19/02/2015 à 16:28
Pour Java, en fait, la nouvelle, c'est la publication de correctifs, en fait. Je ne vois pas ça comme une mauvaise nouvelle.
1  0 
Avatar de amine.hirri
Membre habitué https://www.developpez.com
Le 19/02/2015 à 17:03
Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .
1  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 19/02/2015 à 17:18
Citation Envoyé par amine.hirri Voir le message
Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .
D'une manière générale, la publication de corrections est une bonne nouvelle. Et là, l'article cherche à les présenter comme un signe de mauvaise qualité du logiciel. Mais pas pour Microsoft ou Apple, bizarrement.

Après, des failles effectivement exploitées, c'est une mauvaise nouvelle.
1  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 20/02/2015 à 10:51
Citation Envoyé par amine.hirri Voir le message
Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .
Pour les patch tuesday je vois pourtant régulièrement des news sur developpez qui expliquent (succinctement) les failles corrigés. Après, est-ce que d'autres corrections passent en douce je n'en sais rien.
0  0 
Avatar de berceker united
Expert confirmé https://www.developpez.com
Le 20/02/2015 à 13:42
Oui enfin si tu refais un intranet fait en 98
0  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 20/02/2015 à 16:56
Oui enfin si tu refais un intranet fait en 98
non 2008

Tu m'explique ou on utilise encoire des applets java en dehors des intranet ? a part 2/3 sites des constructeurs (AMD, Nvidia...) pour détecter ta config je vois pas.
0  0 
Avatar de parrot
Membre actif https://www.developpez.com
Le 27/02/2015 à 9:21
Citation Envoyé par sazearte Voir le message
Bizarrement leurs intranet n'a jamais été aussi agréable a utilisé, (a facile a maintenir pour leur admin system)
Dans cet article, il est question de failles de sécurité. Et dans ce domaine, HTML5 et son lot de javascript peut encore nous réserver bien des surprises...
0  0 
Avatar de polkduran
Membre actif https://www.developpez.com
Le 27/02/2015 à 11:14
ça existe toujours Flash?
0  1 
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 19/02/2015 à 16:01
Des failles sur Flash Player et Java... rien de nouveau sous le soleil
1  3 
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 19/02/2015 à 16:33
Je veux dire que ça fait des années que Flash Player et Java sont la cible d'attaque. Et que donc, la publication de fix, bah ça change pas vraiment de d'habitude...
0  3 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web