De Flash à Safari : foire aux correctifs de sécurité

Poste de travailRisquesSécurité
flash-safari-securite

Onze failles corrigées sur Flash et dix-sept sur Safari : c’est le bilan des dernières mises à jour diffusées par Adobe et Apple pour leurs offres respectives.

Adobe la semaine passée avec le plugin Flash, Apple ce mardi avec le navigateur Web Safari : les mises à jour se suivent et se ressemblent… tout du moins en matière de sécurité.

Diffusées depuis le 12 mars, les nouvelles versions de Flash pour Windows, Mac, Linux, Google Chrome et Internet Explorer corrigent un total de 11 failles. Ces dernières sont toutes considérées critiques : elles peuvent permettre à des tiers de prendre le contrôle d’une machine à distance et généralement sans authentification, le tout avec les privilèges de la session en cours.

Ces brèches sont exploitables à travers des contenus malveillants qui entraînent des corruptions de mémoire. Illustration avec les vulnérabilités répertoriées CVE-2015-0334 et CVE-2015-033- : toutes deux consistent à tromper Flash sur le type de données qu’il manipule. Comment ? En créant plusieurs pointeurs se référant à une même adresse mémoire, mais incompatibles entre eux.

Dans un autre registre, la faille CVE-2015-0337 permet de contourner le dispositif Same Origin Policy, qui régit la manière dont un document ou un script peut interagir avec un élément chargé depuis une autre source. Quant à la CVE-2015-0340, elle permet de passer outre certaines restrictions imposées à l’envoi de fichiers.

On notera également la faille CVE-2015-0338, du même type que celle qui avait entraîné la destruction de la fusée Ariane 5 lors de son vol inaugural en 1996 : un dépassement d’entier. Ce type de situation se produit lorsqu’une opération mathématique génère une valeur numérique supérieure à celle représentable dans l’espace de stockage disponible.

Sur les onze vulnérabilités corrigées, dont 5 découvertes par l’équipe Project Zero de Google, quatre (référencées 0332, 0333, 0335 et 0339) sont gratifiées de l’indice de criticité maximal : 10 sur une échelle de 10. Adobe ne précise pas de quelle manière elles sont exploitables.

Les utilisateurs de Flash en version desktop sur les environnement Windows et mac sont invités à passer en version 17.0.0.134 (11.2.202.451 sur les systèmes Linux). Le plugin sera mis à jour automatiquement sur Google Chrome, ainsi que sur Internet Explorer, mais uniquement pour Windows 8.x dans ce dernier cas.

Ce mardi, c’était au tour d’Apple de passer en mode correctif. Pas moins de 17 failles sont éliminées avec la nouvelle mouture de Safari (8.0.4 sur OS X 10.10 « Yosemite » ; 7.1.4 sur OS X 10.9 « Mavericks » ; 6.2.4 sur OS X 10.8 « Mountain Lion »).

Toutes ces vulnérabilités concernent le moteur de rendu WebKit. Elles ont pour l’essentiel trait à des problèmes de corruption mémoire pouvant mener à un plantage de l’application… ou à l’injection de code arbitraire via des pages Web malveillantes.

A noter cette faille « isolée », répertoriée CVE-2015-1084 et qui permettait à des tiers de modifier l’affichage des adresses URL dans la barre principale pour masquer les redirection vers des sites frauduleux dans le cadre d’attaques par phishing (hameçonnage).

Crédit photo : igor.stevanovic – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur