Une faille
critique dans le player de Flash
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0205/020507_flash.shtml
Mardi 7 mai 2002
Une
fois de plus, c'est par ActiveX que le danger arrive. Un rapport
de eEye - éditeur et prestaire de solutions de sécurité
- indique que la version 6.23 du player comporte une faille de sécurité
critique - les versions plus anciennes pourraient aussi être
concernées. Cette brèche, reconnue par Macromédia,
permet à quiconque d'avoir accès aux contrôles
ActiveX de Flash ; ceux-là même qui sont authentifiés
par la signature de Macromédia. Un utilisateur malintentionné
peut donc, par l'intermédiaire des ActiveX de Flash avoir accès
à de nombreuses commandes sur un PC distant. L'éditeur,
conscient du danger, a mis à jour son player le jour même
de l'alerte. Cette alerte survient cinq mois après qu'un virus
inoffensif ait réussi à se glisser dans des animations
Flash, mettant fin à plusieurs années d'inviolabilité
pour le format vetoriel de Macromédia (voir
notre article).
La nouvelle faille vient du fichier Flash.ocx,
un ActiveX présent dans la plupart des browsers : il peut être
installé dans toutes les
versions
d'Internet Explorer. Ce fichier, qui est utilisé par IE pour
insérer un objet Flash dans du code HTML, a tendance à
saturer sa mémoire tampon. Il devient alors possible d'en prendre
de contrôle en déposant quelques lignes de codes dans
un mail formaté Html ou dans une page Web. Ce qui fait dire
à Drew Copley, de eEye que "le risque que cette faille
soit exploitée est très élevé".
Comment se protéger
?
Face à cette menace sérieuse,
la première chose à faire est de se connecter sur le
site de Macromédia pour télécharger la version
mise à jour du logiciel, qui élimine la brèche.
Pour ceux qui ne l'ont pas déja fait, il est également
conseillé de modifier le niveau de sécurité de
leur navigateur, et de bloquer les ActiveX potentiellement dangereux.
Deux solutions : régler le niveau de sécurité
des paramètres de la zone internet sur 'haut'; ou désactiver
complètement les ActiveX dans le menu 'personaliser'. Ce qui
fermera toujours une porte d'entrée aux éventuels pirates.
[Nicolas Six, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|