Sécurité

Mozilla Firefox tue Flash par défaut, le chef de la sécurité appelle Adobe à émettre une date de fin de vie

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Mise à jour: Adobe a publié un article de blog discuter de ces vulnérabilités et peut télécharger les mises à jour appropriées en visitant le Centre Adobe Flash. Assurez-vous de décocher le téléchargeur McAfee fourni avant de commencer le processus. Nous vous recommandons fortement d’installer ces mises à jour si vous devez continuer à utiliser Flash.

La semaine n’a pas été formidable pour Adobe. Dans le sillage de la Hacks d’équipe de piratage qui partageait 400 Go de données appartenant à la société secrète, plusieurs exploits 0-day entourant Flash et Java ont été partagés avec la communauté en ligne. Adobe a réagi rapidement et corrigé la première vague de failles, mais une deuxième série de problèmes a été découverte hier, notamment une autre paire de 0 jours. Cela amène la communauté technologique à dire que ça suffit, avec le directeur de la sécurité de Firefox, Alex Stamos, qui a mis sur liste noire Adobe Flash Player 18.0.0.203 et demandé une date de « fin de vie » ferme d’Adobe.

Stamos

Flash a déjà été sous assistance respiratoire – nous avons récemment expliqué comment Google allait commencer à « bloquer intelligemment » les vidéos flash à lecture automatique, peut-être dans le but de renforcer sa propre notoriété, mais cela souligne les vulnérabilités fondamentales de certains des logiciels qui alimentent encore une grande partie du ‘Net. Actuellement, Internet Explorer 11 utilise toujours le lecteur Adobe Flash par défaut sur YouTube, tandis que Chrome et Firefox sont tous deux passés au HTML5. D’autres services et publicités reposent toujours sur Flash, bien que leur nombre ait diminué.

Les attaques 0-day découvertes à ce jour ont été graves ; au moins une attaque contre Chrome était suffisamment puissante pour violer le bac à sable construit par Google autour du navigateur. Les attaques en question ont également fait leur chemin dans le monde réel ; les exploits basés sur eux ont commencé à apparaître dans la nature quelques jours seulement après la fuite initiale de la nouvelle. Tous les détails sur cette attaque ont été publiés dans une société de recherche sur la sécurité Le blog de Cyberreason La semaine dernière.

Psssssst :  Secure Boot Windows 8 : Calmez-vous, Microsoft ne fait que copier Apple - High-teK.ca

clé client

Les exploits de Hacking Team ont fonctionné en partie en masquant les opérations de logiciels malveillants dans un langage neutre. Les serveurs de commande et de contrôle ont reçu des noms qui semblaient correspondre à des services de flux d’actualités et à des serveurs publicitaires, tandis que les cibles étaient appelées par euphémisme « clients ».

Les menaces sous-jacentes à des services tels que Flash et Java en font une décision intelligente de désactiver les deux produits, sauf si vous avez un besoin spécifique et particulier de les utiliser, puis de mettre cette utilisation en bac à sable dans un seul navigateur via une approche de liste blanche. Flash et Java ont tous deux été largement utilisés dans le monde des affaires pour créer des interfaces de sites Web ou des cadres d’application, de sorte que vous ne pourrez peut-être pas vous en éloigner complètement. Nous vous recommandons vivement d’utiliser les deux services le moins possible.

Adobe n’a pas encore répondu aux appels pour qu’il fixe une date ferme de suppression progressive de Flash, mais il est temps que la technologie disparaisse. Cela peut causer des problèmes à court terme avec les sites Web qui vendent principalement des titres flash, et il peut être nécessaire d’avoir une option de support à long terme pour les entreprises qui s’appuient sur le flash à des fins professionnelles, mais il est temps de passer à des solutions meilleures et plus sécurisées. .

Bouton retour en haut de la page