Depuis le début de l’année, de nombreuses failles ont été identifiées sur Flash Player et Java.

Sécurité informatique : plusieurs failles identifiées sur Flash et Java

Depuis le début de l’année, de nombreuses failles ont été identifiées sur Flash Player et Java. La technologie Flash a été la plus touchée puisque des malwares ont exploité ces vulnérabilités.

 Trendmicro, concepteur de solutions de sécurité, a été le premier à révéler une faille sur Flash.

Le plug-in Flash touché par une vulnérabilité

Trendmicro, concepteur de solutions de sécurité, a été le premier à révéler une faille sur Flash. Vers la mi-janvier, il découvre une vulnérabilité de type zero day sur le plug-in et en informe immédiatement Adobe. Ce dernier prend rapidement des mesures pour corriger le problème référencé sous le numéro CVE-2015-0310 et publie un patch le 22 janvier. Entre la découverte de la faille et la disponibilité du patch, plusieurs versions de Flash sous Windows auraient été infectées. Une vulnérabilité de type zero day est une faille ne disposant pour rappel d’aucun correctif. Elle a permis dans le cas de Flash d’exécuter de façon arbitraire un code visant à corrompre et infecter la mémoire du système. Après la correction de la première vulnérabilité, une seconde faille du même type a toutefois fait son apparition en ne se limitant plus seulement à Windows.

 Une vulnérabilité de type zero day est une faille ne disposant pour rappel d’aucun correctif.

Les systèmes d’exploitation Mac et Linux ont également été concernés. La faille permettait alors soit l’exécution d’un malware soit le téléchargement de fichiers infectés qui s’exécutaient sur la plateforme touchée. Adobe a là encore rapidement publié les correctifs et un patch a permis de corriger la faille quelques jours après l’identification du problème. Dans les deux cas de vulnérabilité, le malware Angler a surtout exploité les failles en utilisant un kit d’exploitation. Ce dernier se chargeait d’infecter le système Windows, Mac OS  ou Linux. Quelques jours après ces événements et après qu’Adobe ait corrigé toutes les vulnérabilités, une troisième faille toujours de type zero day est cependant identifiée au début du mois de février.

 

Les pages web redirigées vers des liens infectés

Comme la précédente, la troisième vulnérabilité découverte touchait tous les systèmes. Elle permet selon Trend Micro de rediriger les pages web vers des liens infectés. Pour le concepteur de solutions de sécurité, le malware Angler aurait été à l’origine de cette infection, cependant il semble que les avis sont partagés sur cette information. Quoi qu’il en soit un patch a été publié par Adobe le 4 février. Si Flash Player semble avoir été la principale cible de ces vulnérabilités, il n’est toutefois pas le seul plug-in concerné par les attaques puisque Java a également été touché.

Si Flash Player semble avoir été la principale cible de ces vulnérabilités, il n’est toutefois pas le seul plug-in concerné par les attaques puisque Java a également été touché.

19 failles ont en effet été identifiées sur Java au cours du mois de janvier. La plupart offraient à l’attaquant la possibilité d’exécuter un code sans authentification à distance. Cette nouvelle démontre à quel point le nombre d’attaques et de failles sur les outils informatiques est en pleine croissance. Peu de personnes semblent pourtant au courant des vulnérabilités découvertes sur Flash Player et Java même si les risques étaient importants. Il est ainsi conseillé aux utilisateurs — professionnels et particuliers —de renforcer la sécurité de leur produit pour limiter ce genre de scénario. Éviter l’exécution automatique des outils et logiciels reste pour le moment le meilleur moyen de prévenir le risque d’infection.