Developpez.com

Le Club des Développeurs et IT Pro

Flash et Java se démarquent par leurs failles de sécurité

En début 2015

Le 2015-02-19 02:29:18, par Olivier Famien, Chroniqueur Actualités
Les plug-ins Flash Player et Java ont connu leurs jours sombres en ce début d’année 2015. En effet, ils ont été frappés par plusieurs vulnérabilités découvertes et exploitées dans le cas de Flash par des malwares. Revenons sur les faits.

Le 20 janvier 2015, le concepteur de solutions de sécurité Trendmicro a détecté une vulnérabilité de type zero day dans le plug-in Flash. Elle a été référencée chez Adobe sous le numéro CVE-2015-0310 et affecte différentes versions installées sous Windows. Cette faille permettait d’exécuter arbitrairement du code malicieux afin de corrompre la mémoire du système et de l’infecter. Un patch a été édité depuis le 22 janvier.

Pour rappel, une vulnérabilité zero day est une faille n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif.

Après la détection de cette première faille, deux jours seulement ont suffi pour qu’une seconde vulnérabilité de type zero day voie le jour. Cette fois, elle a été référencée par Adobe sous le numéro CVE-2015-0311. Elle affectait toutes les plateformes à savoir Windows, Mac, Linux et permettait à un malware de s’exécuter ou de télécharger des fichiers infectés pour s’exécuter sur la plateforme. Quelques jours après cette découverte c’est-à-dire le 24 janvier, Adobe a sorti progressivement des correctifs.

Il faut souligner que ces deux failles ont été exploitées par le malware Angler qui utilisait un kit d’exploitation pour infecter les systèmes.Et comme le dit l’adage, jamais deux sans trois.

Le 02 février dernier, une troisième faille a été à nouveau interceptée. Cette fois encore, elle était de type zero day et touchait les systèmes en redirigeant les pages web vers des liens infectés selon les dires de Trendmicro qui soupçonnait de prime abord Angler d’être à la base de cette infection même si d’autres sites prétendent le contraire. En tout état de cause, cette faille a été patchée depuis le 04 février par Adobe.

Flash n’a pas été le seul plug-in à faire les frais des failles à foison. Java également a dû sortir en janvier des correctifs pour dix-neuf failles dont quatorze permettaient à l’attaquant d’exécuter à distance du code sans authentification.

Comme on peut le constater, les plug-ins débutent l’année 2015 avec plusieurs failles importantes. Nous espérons que cela permettra aux entreprises d’être plus regardantes sur l’aspect sécurité de leur produit. En attendant, il serait avantageux de ne pas activer automatiquement leur exécution pour réduire le risque d’infection.

Source : Adobe Blog, Oracle

Et vous ?

Que pensez-vous de toutes ces failles dans ces plug-ins ?
Que comptez-vous faire pour les éviter?
Avez-vous une solution à proposer ?
  Discussion forum
11 commentaires
  • Traroth2
    Membre émérite
    Pour Java, en fait, la nouvelle, c'est la publication de correctifs, en fait. Je ne vois pas ça comme une mauvaise nouvelle.
    le 19/02/2015 à 16:28
  • amine.hirri
    Membre habitué
    Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .
    le 19/02/2015 à 17:03
  • Traroth2
    Membre émérite
    Envoyé par amine.hirri
    Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .
    D'une manière générale, la publication de corrections est une bonne nouvelle. Et là, l'article cherche à les présenter comme un signe de mauvaise qualité du logiciel. Mais pas pour Microsoft ou Apple, bizarrement.

    Après, des failles effectivement exploitées, c'est une mauvaise nouvelle.
    le 19/02/2015 à 17:18
  • benjani13
    Membre extrêmement actif
    Envoyé par amine.hirri
    Moi, je pense que les mises à jour de MicroSoft sont plus importantes et cachent certainement beaucoup de failles. Des fois, MS se permet d'installer des mises à jour complément buggées . L'avantage c'est que c'est silencieux et on communique pas beaucoup là-dessus .
    Pour les patch tuesday je vois pourtant régulièrement des news sur developpez qui expliquent (succinctement) les failles corrigés. Après, est-ce que d'autres corrections passent en douce je n'en sais rien.
    le 20/02/2015 à 10:51
  • berceker united
    Expert éminent
    Oui enfin si tu refais un intranet fait en 98
    le 20/02/2015 à 13:42
  • RyzenOC
    Inactif
    Oui enfin si tu refais un intranet fait en 98
    non 2008

    Tu m'explique ou on utilise encoire des applets java en dehors des intranet ? a part 2/3 sites des constructeurs (AMD, Nvidia...) pour détecter ta config je vois pas.
    le 20/02/2015 à 16:56
  • parrot
    Membre averti
    Envoyé par sazearte
    Bizarrement leurs intranet n'a jamais été aussi agréable a utilisé, (a facile a maintenir pour leur admin system)
    Dans cet article, il est question de failles de sécurité. Et dans ce domaine, HTML5 et son lot de javascript peut encore nous réserver bien des surprises...
    le 27/02/2015 à 9:21
  • polkduran
    Membre actif
    ça existe toujours Flash?
    le 27/02/2015 à 11:14
  • nchal
    Membre expérimenté
    Des failles sur Flash Player et Java... rien de nouveau sous le soleil
    le 19/02/2015 à 16:01
  • nchal
    Membre expérimenté
    Je veux dire que ça fait des années que Flash Player et Java sont la cible d'attaque. Et que donc, la publication de fix, bah ça change pas vraiment de d'habitude...
    le 19/02/2015 à 16:33
  Poster une réponse