Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Nouvelle alerte sur Flash, exploitation en cours

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Nouvelle alerte sur Flash, exploitation en cours

Adobe Flash

Adobe alerte les utilisateurs de Flash d’une nouvelle vulnérabilité critique exploitable sur Windows, Mac, Linux et Solaris.

Le danger immédiat serait cependant pour les utilisateurs de Windows : la faille serait en effet actuellement exploitée dans le cadre d’attaques ciblées intégrant du contenu Flash (.swf) intégré à un document Word. Le contrôle ActiveX Flash intégré à Internet Explorer serait appelé par Word à l’ouverture du document piégé et la vulnérabilité pourrait alors être exploitée.

Pour les utilisateurs d’un navigateur autre que Internet Explorer la parade est cependant relativement simple : il suffit de désinstaller le contrôle ActiveX en question. A condition de ne pas avoir besoin de Flash dans des documents Office (ce qui est rare), il n’y a rien de plus facile : la procédure est conseillée par le blog de F-Secure et documentée pas-à-pas sur eHow.

Une fois supprimé le composant sera inaccessible aux applications tierces susceptibles de se faire piéger, et en particulier celles de la suite Microsoft Office. Car si c’est aujourd’hui le traitement de texte Word qui est montré du doigt, n’oublions pas que la récente attaque contre RSA a commencé par du contenu Flash inséré dans un document Excel.

Bien entendu cette mesure n’est utile que contre les attaques en cours basée sur des documents piégés. Flash reste vulnérable dans les navigateurs tiers à la lecture d’un document .swf. Mais, comme le fait remarquer le blog de F-Secure, une attaque ciblée (par email, le plus souvent) est plus difficile à mener de la sorte : il faudrait trouver une bonne raison pour amener la victime à cliquer sur un lien et visiter un site piégé.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.