Adobe publie un correctif d'urgence pour une faille zero day dans Flash
Qui serait exploitée par des pirates chinois

Le , par Olivier Famien

0PARTAGES

0  0 
Adobe vient de sortir un patch afin de corriger une faille critique découverte dans son plug-in Flash. La vulnérabilité référencée sous le numéro CVE-2015-3113 expose les utilisateurs Flash à un accès non désiré à leurs terminaux exécutant Internet Explorer avec Windows 7 et les versions antérieures, ainsi que Firefox sur Windows XP.


L’entreprise de sécurité informatique FireEye donne plus d’informations sur cette faille découverte. En effet, sur son site la firme explique que cette vulnérabilité zero-day a été exploitée par un groupe de pirates informatiques baptisé APT3.

Pour parvenir à ses fins, le groupe a débuté son forfait en lançant une campagne de phishings contre plusieurs organisations dans plusieurs domaines d’activités tels que l’aéronautique et la défense, la construction et l’ingénierie, les télécommunications et le transport.

Les mails infectés qui ont été consultés ont automatiquement redirigé les victimes vers un serveur corrompu. Ci-dessus, un aperçu de l’email envoyé aux victimes.

Save between $200-450 by purchasing an Apple Certified Refurbished iMac through this link. Refurbished iMacs come with the same 1-year extendable warranty as new iMacs. Supplies are limited, but update frequently.
Don' t hesitate. . .>Go to Sale


Le clic sur ">Go to Sale" renvoyait au lien défini comme suit:

hxxp://<subdomain>.<legitdomain>.<TLD>/<directory>/<alphanumericID>.html

Comme on peut le constater, l’email d’hameçonnage n’est pas monstrueusement sophistiqué.

Une fois le clic obtenu et la redirection effectués vers le serveur corrompu, les victimes sont profilées avec des scripts JavaScript hébergés sur ce serveur. À partir de cette étape, les attaquants, qui seraient basés en Chine selon FireEye, injectent une porte dérobée personnalisée appelée SHOTPUT ou CookieCutter dans les systèmes des victimes. Cela se fait en leur fournissant des fichiers Adobe Flash Player SWF et FLV infectés qu’ils téléchargent.

La firme de sécurité soutient également que dès qu’APT3 a accès à un réseau, ils sont extrêmement dynamiques et furtifs afin de maintenir leur accès et empêcher le suivi de leurs activités. En outre, elle souligne que le groupe n’est pas à son premier forfait. Il compterait même à son actif de nouveaux exploits zeroday basés sur les navigateurs Internet Explorer et Firefox ainsi que le plug-in Adobe Flash Player. FireEye qui traque ses activités depuis un bout de temps n’est pas encore parvenu à remonter les pistes en raison des infrastructures techniques assez sophistiquées utilisées pour infecter les systèmes.

Adobe ayant pris connaissance de cette faille affirme que celle-ci est « activement exploitée par le biais d’attaques limitées et ciblées ». Toutefois, même s’il n’y a que Windows et Firefox qui sont cités comme cibles, Adobe recommande, pour tous les systèmes que ce soit pour Windows, Mac, Linux, Chrome, Internet Explorer sur Windows 8, la mise à jour systématique du plug-in Flash vers la version qui vient d’être éditée.

Pour Windows et Mac, la dernière version a pour numéro de référence 18.0.0.194. Sous Linux, elle porte le code 11.2.202.468. Pour les navigateurs tels que Google Chrome et Internet Explorer sur Windows 8 intégrant de fait le plug-in, les mises à jour se feront automatiquement vers la version 18.0.0.194. Par contre, les utilisateurs d’Adobe Flash Player Extended Support devront faire la migration du plug-in vers la version 13.0.0.296.

Source : FireEye, Adobe

Et vous ?

Que pensez-vous de cette faille corrigée ?

Pourra-t-elle vous faire abandonner ce plug-in ?

Ou trouvez-vous rassurant la veille d’Adobe pour la détection des failles dans son lecteur ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 24/06/2015 à 7:17
et une de plus ..

A quand la disparition de cette bouse ...

Encore un peu de patience.
Avatar de berceker united
Expert confirmé https://www.developpez.com
Le 24/06/2015 à 13:15
Si vous ne l'installez pas, il vous gènera pas.
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 24/06/2015 à 20:01
Tu parles de ne pas du tout installer Flash, c'est encore un peu difficile (exemple videos), mais ça viendra, ils payeront alors leur manque de veille technologique.
Avatar de Sodium
Membre extrêmement actif https://www.developpez.com
Le 24/06/2015 à 21:34
Tu parles de ne pas du tout installer Flash, c'est encore un peu difficile (exemple videos), mais ça viendra, ils payeront alors leur manque de veille technologique.
Car bien entendu, Flash est le seul software a avoir des failles de sécurité, ça n'est jamais arrivé à Java, Windows, iOS ou encore Linux
Flash peut être exploité par des pirates parce qu'il fait partie des éléments permettant à partir d'un browser d'interagir avec la machine de l'utilisateur, ce qui peut être utilisé à de bonnes comme de mauvaises fins.
C'est fatiguant ces discours bas du ne faisant que répéter le matraquage marketing de "certaines" marques basé sur des intérêts commerciaux et non technologiques.
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 25/06/2015 à 0:48
Car bien entendu, Flash est le seul software a avoir des failles de sécurité, ça n'est jamais arrivé à Java, Windows, iOS ou encore Linux
Ce n'est pas ce que j'ai dit. Mais Flash existe depuis des années et il n'y avait pas autant de failles auparavant. C'est bien qu'il y a un problème : marketing, technique, ou autre. Enfin là ça en devient dangereux à utiliser.

Extrait page wikipedia sur Flash décrivant bine le prob.

Par défaut, le lecteur Flash permet l'utilisation de la webcam et du microphone de l'ordinateur. La plupart des utilisateurs ne changent pas la configuration de leur logiciel, et il y a eu par le passé des programmes malveillants qui ont utilisé la webcam et le microphone. C'est une atteinte à la vie privée et à la sécurité.

Beaucoup de publicités sont basées sur l'utilisation de bannières animée en flash. Il suffit que le serveur hébergeant les publicités soit compromis pour qu'un programme malveillant soit envoyé aux Internautes lorsqu'ils visitent un site Internet. Heureusement, en 2014, le flash est de moins en moins utilisé, et il suffit de ne pas l'activer dans le navigateur pour se protéger.

Malgré de nombreuses mises à jour, la nature même de l'algorithme sous-tend un terreau idéal pour les chevaux de Troie et autres logiciels espions. Selon le site CVE Details, durant les 10 dernières années, le lecteur Flash a été la cible de 338 attaques34. Précisément pour ces failles de sécurité, Apple est l'un des premiers acteurs majeurs sur le marché qui refuse d'intégrer le logiciel dans ses appareils iPhone ou iPad, optant plutôt sur le streaming basé sur HTTP.

Selon un rapport de l'AISP intitulé "Illegal Streaming and Cyber Security Risks"35, un des moyens les plus plébiscités pour propager des virus informatiques est les sites de streaming vidéo illégal qui utilisent le lecteur Flash. Contrairement aux sites légaux, les sites illégaux intègrent des lecteurs vidéos "sur mesure" qui invite les internautes à installer des mises à jour pour leur lecteur Flash. Cette mise à jour, au lieu de diffuser la vidéo sur demande, installe un cheval de Troie ou un logiciel malveillant similaire sur la machine de l'internaute. Selon les types d'infections, le programme peut alors fonctionner en arrière-plan et ouvrir plusieurs ports TCP, créer une interface de commande et contrôle et communiquer avec le gestionnaire. L'ordinateur est alors transformé en "bot" ou "zombie"36.
Et ça c'est pas du marketing, je le constate sur tellement de poste que je dois dépanner. Sans compter qu'il fait tourner les ventilos comme un aspirateur.

Flash peut être exploité par des pirates parce qu'il fait partie des éléments permettant à partir d'un browser d'interagir avec la machine de l'utilisateur
Certes, mais en browser tu peux utiliser Internet Explorer, ou Firefox, ou Chrome (pour ne citer qu'eux). Utilises tu Internet Explorer ? et si oui ou non pourquoi ?

Donc pour les points lancés par le POST :

Que pensez-vous de cette faille corrigée ? Déjà répondu
Pourra-t-elle vous faire abandonner ce plug-in ? Pas encore car sur certains sites il reste indispensable mais je ne l'active que sur certains sites
Ou trouvez-vous rassurant la veille d’Adobe pour la détection des failles dans son lecteur ? c'est une blague ?
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 25/06/2015 à 9:23
Car bien entendu, Flash est le seul software a avoir des failles de sécurité, ça n'est jamais arrivé à Java, Windows, iOS ou encore Linux
Sauf que Adobe abandonne son produit, flash n'évolue plus depuis pal mal d'année déjà. Les problèmes de flash(consommation du cpu, portage sur mobile..etc) ne sont pas régler, et ne le serons probablement plus jamais.

Une entreprise qui croit plus en son produit, persos je n'y fait pas non plus confiance, pourtant si flash avait évoluer dans le bon sens il y'a 3-4ans, ils pourrait concurrencer sérieusement html5.

Pour que le flah sur le web (je précise bien) soit encore compétitif, fraudais déjà le rendre multiplateforme, (Windows, Linux, Mac, Android et Windows phone), IOS Apple ne voudra jamais.
L'optimiser pour alléger la charge cpu.
Passer des contrats avec les navigateurs, pour que l'intégration de flash et ces maj soient simplifiés a l’extrême (maj auto sans un gros pop up tous moche), l'intégration dans windows update était un bonne idée, mais pas suffisante.
Avatar de Sodium
Membre extrêmement actif https://www.developpez.com
Le 25/06/2015 à 10:37
Flash abandonne son produit parce qu'Apple a profité de son monopole pour porter un coup à son concurrent de longue date.

Concurrencer HTML5 ? HTML5 et Flash n'ont aucun rapport. Ce ne sont pas des concurrents mais des technologies complémentaires. Il y a des tas de choses qui ne seront jamais réalisables en HTML et pour lesquelles il faudra passer par un plugin tiers (Flash, Silverlight, Java). De même, il y a des tas de cas où Flash était utilisé à mauvais escient, là où du CSS aurait suffit.

Flash, c'est également un environnement de développement assez complet permettant de faire facilement des choses qui nécessitent une armée de plugins et de frameworks divers posant souvent des problèmes de compatibilité. Pour avoir développé des jeux en javascript, c'est une véritable plaie. Sans parler du fait qu'une application Flash est compilée là ou du HTML et javascript restera toujours entièrement accessible aux utilisateurs.

Personnellement, si je abattre un arbre, je préfère utiliser une tronçonneuse plutôt qu'un couteau. Malheureusement, il ne reste aujourd'hui plus que le couteau vu que les tronçonneuses ont été peu à peu éjectées sous de faux prétextes.
Avatar de supergeoffrey
Membre expérimenté https://www.developpez.com
Le 25/06/2015 à 10:39
ça fait 15 ans que flash est à l'origine des problèmes de sécurités sur le web.
ça en fait qu'un de plus.
Avatar de supergeoffrey
Membre expérimenté https://www.developpez.com
Le 25/06/2015 à 10:43
Citation Envoyé par Sodium Voir le message
Car bien entendu, Flash est le seul software a avoir des failles de sécurité, ça n'est jamais arrivé à Java, Windows, iOS ou encore Linux
Flash peut être exploité par des pirates parce qu'il fait partie des éléments permettant à partir d'un browser d'interagir avec la machine de l'utilisateur, ce qui peut être utilisé à de bonnes comme de mauvaises fins.
C'est fatiguant ces discours bas du ne faisant que répéter le matraquage marketing de "certaines" marques basé sur des intérêts commerciaux et non technologiques.
C'est bien pour ça qu'il ne faut le bannir.
Flash = Factory of virus.
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 25/06/2015 à 10:48
Concurrencer HTML5 ? HTML5 et Flash n'ont aucun rapport. Ce ne sont pas des concurrents mais des technologies complémentaires. Il y a des tas de choses qui ne seront jamais réalisables en HTML et pour lesquelles il faudra passer par un plugin tiers (Flash, Silverlight, Java). De même, il y a des tas de cas où Flash était utilisé à mauvais escient, là où du CSS aurait suffit.
Je ne suis pas d'accord, aujourd'hui HTML5 concurrence directement flash sur tous les front, animation 3D, jeux 3D, API pour la vidéo, la webcam, le micro, la batterie pour l'ordinateur, le drag and drop...

Tous ce que fait flash, html5 le fait aussi (plus ou moins bien sa dépend des cas, la dessus je te rejoint).
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web