Situation délicate pour Flash Player : tandis qu’Adobe lui administre en urgence un correctif de sécurité, Microsoft s’en distancie un peu plus.
Le premier éditeur mondial annonce qu’Edge, son navigateur Web nouvelle génération intégré dans Windows 10, sera bientôt plus restrictif sur l’affichage de contenus Flash.
La transition interviendra avec la prochaine mise à jour majeure de l’OS (« Anniversary Update », prévue pour cet été), mais la dernière version préliminaire livrée dans le cadre du programme Windows Insider en offre un aperçu.
L’idée est, comme depuis près d’un an sur Google Chrome, de bloquer le rendu de certains éléments. En l’occurrence, ceux considérés comme « périphériques », c’est-à-dire non essentiels à l’expérience utilisateur, afin d’économiser des ressources : processeur, mémoire, batterie…
Dans l’approche de Microsoft, la publicité en fait partie, au contraire des jeux et des vidéos.
Adobe a dû composer avec un délai beaucoup plus court pour diffuser, à la hâte, un correctif.
Celui-ci corrige 24 failles, dont 13 associées à des problèmes de corruption de mémoire.
L’une d’entre elles, répertoriée CVE-2016-1019, est particulièrement préoccupante. Découverte par trois chercheurs de Proofpoint, FireEye et Google avec l’appui d’autres sociétés spécialisée dans la sécurité informatique, elle est activement exploitée sur les systèmes Windows, notamment pour distribuer un ransomware.
Les premières traces ce cette vulnérabilité ont été découvertes fin mars, début avril, dans le kit d’exploit Magnitude.
Les chercheurs se sont aperçus que la faille, mal implémentée, ne touchait pas les dernières versions de Flash*, alors même qu’elle aurait techniquement pu le permettre.
Proofpoint estime qu’elle a servi, pendant plusieurs mois jusqu’à la mi-mars, à diffuser le ransomware Cryptowall. Elle servirait aujourd’hui à distribuer un autre rançongiciel baptisé Cerber, en sachant éviter les machines virtuelles et certains antivirus.
FireEye, qui l’a également repérée dans le kit d’exploit Nuclear Pack, situe la brèche dans une API non documentée (ASnative) dont le détournement permet de lire et d’écrire à volonté dans certaines zones mémoire… et ainsi d’injecter du code via des pages Web malveillantes et/ou des bannières publicitaires compromises.
* Flash Player 21.0.0.182 et les moutures ultérieures sont épargnés.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…