Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les lecteurs Flash sont tous vulnérables… et vous aussi

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Les lecteurs Flash sont tous vulnérables… et vous aussi

Une faiblesse des lecteurs Flash permet de prendre le contrôle d’un PC à la simple lecture d’une animation. Exploitable à distance via n’importe quel site web ou un email, cette attaque touche tous les navigateurs capables de lire les animations Flash, sur n’importe quelle plateforme. C’est à dire tout le monde.


Flash, de Macromedia , est partout : tous les navigateurs, ou presque, intègrent d’emblée un lecteur d’animations à ce format, et de nombreux sites web utilisent cette facilité.Hélas, tous ces lecteurs jusqu’à la version 6.0.65.0 sont vulnérables à une attaque à distance, comme vient de le démontrer la société eEye Digital Security .Il suffit pour cela à un pirate de placer sur son site web une animation Flash dont le fichier a été spécialement modifié. A l’arrivée d’un navigateur, ce dernier utilisera automatiquement son propre lecteur Flash (un plug-in par défaut le plus souvent) afin de tenter de le lire. Si le fichier d’animation (.SWF) a été correctement modifié, cela provoquera un dépassement de mémoire tampon sur le système de l’internaute et y exécutera n’importe quel code, au choix du pirate.Tous les lecteurs Flash (jusqu’au 6.0.65.0) sont concernés, tant sous Windows que sous Unix. eEye affirme avoir démontré la faille avec Internet Explorer et Netscape, mais d’autres navigateurs sont certainement vulnérables s’ils intègrent un plug-in Flash. Seuls les amoureux du Mac peuvent espérer y échapper tant qu’ils s’en tiennent à MacOS jusqu’à la version 9.x. MacOS X, reposant sur un unix libre, est en revanche certainement vulnérable bien que eEye n’ait rien dit à ce sujet. C’est la deuxième faille de ce type à frapper les lecteurs Flash en quelques mois.Macromedia a produit un correctif qu’il est sage d’appliquer rapidement…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.