Vulnérabilités

Les lecteurs Flash sont tous vulnérables... et vous aussi.

Par Jerome Saiz, le 17 déc 2002 à 12:44:00.

Une faiblesse des lecteurs Flash permet de prendre le contrôle d'un PC à la simple lecture d'une animation. Exploitable à distance via n'importe quel site web ou un email, cette attaque touche tous les navigateurs capables de lire les animations Flash, sur n'importe quelle plateforme. C'est à dire tout le monde.

Flash, de Macromedia, est partout : tous les navigateurs, ou presque, intègrent d'emblée un lecteur d'animations à ce format, et de nombreux sites web utilisent cette facilité.
Hélas, tous ces lecteurs jusqu'à la version 6.0.65.0 sont vulnérables à une attaque à distance, comme vient de le démontrer la société eEye Digital Security.
Il suffit pour cela à un pirate de placer sur son site web une animation Flash dont le fichier a été spécialement modifié. A l'arrivée d'un navigateur, ce dernier utilisera automatiquement son propre lecteur Flash (un plug-in par défaut le plus souvent) afin de tenter de le lire. Si le fichier d'animation (.SWF) a été correctement modifié, cela provoquera un dépassement de mémoire tampon sur le système de l'internaute et y exécutera n'importe quel code, au choix du pirate.
Tous les lecteurs Flash (jusqu'au 6.0.65.0) sont concernés, tant sous Windows que sous Unix. eEye affirme avoir démontré la faille avec Internet Explorer et Netscape, mais d'autres navigateurs sont certainement vulnérables s'ils intègrent un plug-in Flash. Seuls les amoureux du Mac peuvent espérer y échapper tant qu'ils s'en tiennent à MacOS jusqu'à la version 9.x. MacOS X, reposant sur un unix libre, est en revanche certainement vulnérable bien que eEye n'ait rien dit à ce sujet. C'est la deuxième faille de ce type à frapper les lecteurs Flash en quelques mois.
Macromedia a produit un correctif qu'il est sage d'appliquer rapidement...

Plus d'information

L'alerte de eEye.
Le correctif de Macromedia.

Le client Telnet maison de Windows vulnérable (21 oct 2000)
Utilisateurs de PCAnywhere, vous êtes vulnérables. (27 nov 2001)
Les serveurs Windows vulnérables à distance (16 avril 2007)
Lot de vulnérabilités pour Real et ses Players. (06 fév 2004)
Nouvelle faille : tous les navigateurs web vulnérables aux arnaques ! (09 déc 2004)

Cartes blanches

Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.	Intégrer l'analyse de risques dans les projets Stéphane Aubert Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
>> Plus de Cartes Blanches

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres