Vulnérabilité
non corrigée dans Flash Player (27/12/07)
MAJ 09/04/08 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans le lecteur Flash, un plug-in intégré
à la plupart des navigateurs web qui permet de visualiser
les animations du même nom. L'exploitation d'un défaut
de filtrage des données transmises aux animations (fichiers
.SWF) peut permettre à un individu malveillant d'intercepter
les identifiants de connexion à un site web de sa victime
en incitant celle-ci à cliquer sur un lien piégé
durant la connexion concernée.
LOGICIELS
CONCERNES :
Adobe
Flash Player
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, l'existence de cette
faille ayant été rendue publique par son découvreur
sans concertation avec l'éditeur. Les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- tenir à
jour son antivirus. Les éditeurs publient généralement
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant les défauts de sécurité
non corrigés.
Les webmestres
doivent par ailleurs s'assurer de la sécurité des
animations Flash éventuellement présentes dans leurs
pages web (voir le bulletin
de l'éditeur), afin d'éliminer les possibilités
d'attaque par cross-site
scripting (XSS).
INFORMATIONS
COMPLEMENTAIRES :
-> Bulletin
de sécurité Adobe n°APSA07-06 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|