Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
18 septembre 2012 2 18 /09 /septembre /2012 21:58

Voici la liste des bulletins de sécurité pour Flash Player, en date du 18/09/12 :

 

liste_bulletins_180912.png

 

Le dernier bulletin en date, pointe donc sur :

http://www.adobe.com/support/security/bulletins/apsb12-19.html

 

dernier_bulletin_flash-player_180912.png

 

 

La dernière version recommandée d'un point de vue "correction de failles de sécurité" est donc censée être la : 11.4.402.265

 

Ca tombe bien, c'est celle que j'avais ce matin sur une machine d'usage courant :

detect_version-installee_180912.png

 

 

Et comme je n'ai pas redémarré la machine, la mise à jour de Flash Player (s'il devait y en avoir une) ne se fera pas en automatique.

 

Mais que vois-je ? une nouvelle version, la 278 serait disponible ???

 

Et effectivement, elle est disponible au téléchargement !

 

telechargement_flash-player_nouvelle-version180912.png

 

 

Mais mon dernier point ne sera sûrement pas des moindres... il se trouve que cette version, la 278, empêche d'exploiter (ie: injection de code arbitraire) la faille de sécurité actuellement utilisée dans des attaques, si l'on en croit la presse et les organismes de veille :

http://www.zdnet.fr/actualites/internet-explorer-touche-par-un-exploit-0-day-39782621.htm

(Tests faits sur XP SP3 / IE8, et Win 7 64 bits / IE9)

 

Mise  à jour 1:

 

Je voudrais préciser ce que j'entends par faille de sécurité Flash ici. Flash est une machine virtuelle, et est censé proposé un contexte d'exécution isolé par rapport à l'environnement utilisateur complet (géré par le système d'exploitation).

Comment se fait-il que l'on puisse contourner une fonction de sécurité (ASLR) mise en oeuvre au niveau système d'exploitation, par un balayage de la zone mémoire ("heap spraying") par Flash, et ensuite rendre la main à une commande hors Flash (car pure IE) ?

A mon sens, il est surprenant qu'un composant tiers, isolé, comme Flash, puisse permettre de réaliser des actions sur la mémoire du navigateur, pour ensuite pouvoir injecter le code d'exploitation adapté...

Et pour finir, la technique de parcours de la mémoire ("heap spraying") marche  pour des zones mémoire de quelques gigas maximum, 4Go par exemple. Mais l'ASLR sur un espace mémoire de plus de 4Go nécessitera au mieux beaucoup de temps, voire aboutira en erreur.

Voilà donc une nouvelle raison de ne pas avoir de Windows Vista/7 en 64 bits avec seulement 4Go de RAM : l'efficience de l'ASLR ! 

 

Mise à jour 2 :

 L'avis de sécurité Microsoft http://blogs.technet.com/b/srd/archive/2012/09/19/more-information-on-security-advisory-2757760-s-fix-it.aspx

indique :

 All real attacks we have seen are targeting only 32-bit versions of Internet Explorer and rely on third-party browser plugins to either perform efficient heap-spray in memory and/or to bypass the built-in mitigations of Windows Vista and 7 such as DEP and ASLR

Cela semble clair... 

 

Et la page officielle de Adobe ne mentionne même pas la version .278 de Flash Player :

http://helpx.adobe.com/flash-player/release-note/fp_114_air_34_release_notes.html 

Fixed Issues 
Netstream crashes intermittently on disconnect (3193417)
Issue with stopping live audio streaming on AIR Android (3188340)
drawWithQuality() does not render filters properly on Android devices (3224928)
Clipboard.generalClipboard.setData doesn't work on iOS (3226045)
Some FLV video content does not play in Flash Player on Windows (3187569)
Only right side audio playing in Flash Player based apps in Firefox on Windows (3289279)
Mouse Lock feature disabled after entering Full Screen Interactive mode (3174344)
[iOS5] TextFields with embedded fonts garbled on mobile devices (3161138)
First frame of some live streaming contents freezes (3207896)
Application icons for 50X50, 100X100, 1024X1024 are now supported for iOS applications in the Application Descriptor (3217144)
Applications using Native extensions sometimes crash on iOS when using certain external libraries.eg. Libxml2.dylib (3226974)
Some deviation is observed when a launch image of resolution 768 x 1004 or 1024 x 748 is packaged in a full-screen iPad application. (3230762). The new guidelines for using launch images can be referred to here
H264 videos on iOS crash when switching between two NetStreams attached to a StageVideo object (3206438)
Issue with CameraRoll.browseForImage() causes transparency loss resulting in white color (3291312)


Released versions

Flash Player Desktop (Windows® /Mac) 11.4.402.265
AIR (Windows® , Mac, Mobile) 3.4.0.2540

AIR SDK 3.4.0.2540

 

 

Mise à jour 3 :

 

Autre vérification, la version .278 est déclarée comme "safe" par Adobe, dans le registre Windows :

[HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayer\SafeVersions]
"6.0"=dword:ffffffff
"7.0"=dword:ffffffff
"8.0"=dword:ffffffff
"9.0"=dword:ffffffff
"10.0"=dword:00e6001e
"11.0"=dword:01920116

 

Ceci signifie que l'on ne peut plus installer une version antérieure (ex : la 265) après que Flash ait détecté cette nouvelle version et ait écrit l'info dans le regsitre ! Voici l'avertissement qui apparaît alors :

 

install_ancienne_version_flash_alerte_210912.jpg.png

L'installation est alors bloquée. Que signifie "most secure" alors, si cette dernière version ne corrige rien au niveau sécurité ? 

 

Partager cet article

Repost0

commentaires

paraphrasing powerpoint 16/09/2014 14:34

Flash Player possède une propriété sans raison valable - auto-renouvellement! Il est bon que le travail supplémentaire effectué avec ce programme!