Same Player, fail again

Sécurité de l'information
Same Player, fail again

Vous l’aurez peut être remarqué si vous utilisez Firefox : depuis quelques jours, le plugin flash est systématiquement bloqué. En effet, alors que tous les regards se tournaient la semaine dernière vers OpenSSL, touché par une vulnérabilité sérieuse, trois vulnérabilités de type 0day affectant Flash Player ont été rendues publiques suite à la compromission de la société italienne « HackingTeam ». Cette société aux pratiques douteuses proposait notamment l’une de ces vulnérabilités à ses clients – parmi lesquels certains états souhaitant faire de la surveillance de masse à l’insu de leurs citoyens.

Ces vulnérabilités, dévoilées entre le 7 et le 10 juillet, se sont vues attribuer trois identifiants CVE distincts : CVE-2015-5119, CVE-2015-5122 et CVE-2015-5123. Le CERTFR a également publié un bulletin de sécurité officiel à ce sujet.

Elles permettent toutes les trois d’exécuter du code à distance sur un système vulnérable, et ont toute la même origine : la réutilisation de pointeurs après libération (classe de bug use-after-free). Flash n’en est pas à ses débuts en la matière : la même classe de bug est déjà à l’origine de très nombreuses vulnérabilités précédemment corrigées (7 rien qu’en 2014 : CVE-2014-8443, CVE-2014-8438, CVE-2014-0588, CVE-2014-0573, CVE-2014-0553, CVE-2014-0538 et CVE-2014-0506). Elles affectent tous les navigateurs sur lesquels Flash Player est déployé, y compris Google Chrome (qui embarque sa propre version de Flash), et quel que soit votre système d’exploitation. Toutes les versions de Flash de la 9 à la 18.0.0.202 sont affectées.

On peut donc légitimement s’inquiéter, une fois de plus, de la sécurité de l’implémentation de Flash. Encore incontournable il y a quelques années, il est aujourd’hui rendu en grande partie obsolète par HTML5 et augmente considérablement la surface d’attaque de nos navigateurs.

Adobe a publié plusieurs mises à jour, corrigeant dans la foulée plus de 35 vulnérabilités. Mais vu  la nature des failles et l’historique du produit, il faut s’attendre à ce que d’autres failles soient découvertes dans Flash. Il est donc recommandé de mettre à jour le plugin immédiatement si vous en dépendez. Mais si vous le pouvez, peut-être serait-il plus sage de désactiver ou désinstaller complètement Flash de vos postes ?

Quentin De Priester, Consultant en sécurité, Advens