|
|
Sécurité |
Une
faille critique dans le player de Flash |
Via les ActiveX des versions 6.23 et précédentes du logiciel, une prise de contrôle du PC est possible. Le parc des ordinateurs concernés par cette alerte est considérable. (Mardi 7 mai 2002) |
|
Une fois de plus, c'est par
ActiveX que le danger arrive. Un rapport
de eEye - éditeur et prestaire de solutions
de sécurité - indique que la version 6.23
du player comporte une faille de sécurité
critique - les versions plus anciennes pourraient aussi
être concernées. Cette brèche, reconnue
par Macromédia, permet à quiconque d'avoir
accès aux contrôles ActiveX de Flash ; ceux-là
même qui sont authentifiés par la signature
de Macromédia. Un utilisateur malintentionné
peut donc, par l'intermédiaire des ActiveX de Flash
avoir accès à de nombreuses commandes sur
un PC distant. L'éditeur, conscient du danger,
a mis à jour son player le jour même de l'alerte.
Cette alerte survient cinq mois après qu'un virus
inoffensif ait réussi à se glisser dans
des animations Flash, mettant fin à plusieurs années
d'inviolabilité pour le format vetoriel de Macromédia
(voir
notre article).
La nouvelle faille vient du
fichier Flash.ocx, un ActiveX présent dans la plupart
des browsers : il peut être installé dans
toutes les
versions
d'Internet Explorer. Ce fichier, qui est utilisé
par IE pour insérer un objet Flash dans du code
HTML, a tendance à saturer sa mémoire tampon.
Il devient alors possible d'en prendre de contrôle
en déposant quelques lignes de codes dans un mail
formaté Html ou dans une page Web. Ce qui fait
dire à Drew Copley, de eEye que "le risque
que cette faille soit exploitée est très
élevé".
Comment
se protéger ?
Face à cette
menace sérieuse, la première chose à
faire est de se connecter sur le site de Macromédia
pour télécharger la version
mise à jour du logiciel, qui élimine
la brèche. Pour ceux qui ne l'ont pas déja
fait, il est également conseillé de modifier
le niveau de sécurité de leur navigateur,
et de bloquer les ActiveX potentiellement dangereux. Deux
solutions : régler le niveau de sécurité
des paramètres de la zone internet sur 'haut';
ou désactiver complètement les ActiveX dans
le menu 'personaliser'. Ce qui fermera toujours une porte
d'entrée aux éventuels pirates.
|
|
|