Hacking The Hacking Team : deux nouvelles failles zero-day dans le plugin Flash d'Adobe

Par:
fredericmazue

lun, 13/07/2015 - 12:14

Il y en a des choses intéressantes dans les 400 Go de données récemment dérobées à la société The Hacking Team et publiées sur Pastebin :-)

The Hacking Team est une société qui vit du cyber espionnage, mais qui en l'occurrence contribue pour le moment et à l'insu de son plein gré à la sécurité informatique. En effet le code source de son logiciel espion phare, DaVinci, fait partie des 400 Go volés. Et ce code source est riche d'enseignements.

Ainsi, il est apparu en fin de semaine dernière que DaVinci exploitait une faille zero-day dans le plugin Flash d'Adobe. Faille qu'Adobe a d'ailleurs rapidement corrigée.

Mais ce n'est pas tout. Après cette faille CVE-2015-5119, deux autres failles zero-day ont été identifiées grâce à The Hacking Team :-)  CVE-2015-5122 et CVE-2015-512 respectivement. Des failles dans le plugin Flash, encore et toujours... FireEye et Trend Micro détaillent quelques informations techniques à propos de ces failles, sur les pages citées.

Dans les deux cas, les failles consistent en des corruptions mémoire, dont l'exploit rend possible l'exécution d'un code arbitraire sur la machine attaquée. Il s'agit donc de failles hautement critiques, qui pour l'instant ne sont pas corrigées. En attendant les correctifs, les experts en sécurité recommandent très vivement la désactivation du plugin Flash, en raison de la gravité de ces failles.

Commentaires

@Frédéric Thomas ,Flash n'est pas présent aussi pour un problème de performance sur les périphériques faibles en CPU/GPU, et le souci que j"ai avec viens du fait qu'il faut absolument l'IDE Adobe pour développer et compiler des applications Flash. Avec HTML5/CSS3 et Javascript et de nombreuses librairies (ThreeJS, WebGL, ...) on peut faire des merveilles, depuis n'importe quel IDE (un notepad suffit même si c'est pas beau :p ) et il n y a pas de problèmes de récompilation pour la moindre modification. Les deux seuls avantage que je vois à Flash pour le moment, c'est le fait qu'il soit compilé (donc le code source n'est pas exposé aux yeux de tous) et qu'il soit compatible en fonctionnement similaire sur toutes les plateformes et navigateurs (même si certains l'on banni). Je ne suis pas spécialement contre ou pour ce langage, mais je pense qu'il a besoin d'un renouveau pour lutter contre les technologies émergentes, et également d'une sécurité revue.