Des cookies aux clés de sessions, les informations de connexion liées à la navigation Web sont menacées par une attaque massive se déroulant actuellement sur Internet.
Pour voler ces données, les pirates combinent plusieurs fonctionnalités avancées proposées par le greffon Flash d’Adobe, par les navigateurs modernes et par les sites Web de dernière génération. Ils s’appuient sur une requête JSONP permettant à un site de demander des données à un autre… et sur l’outil Rosetta Flash, utilisé pour convertir des modules Flash en texte. Une fois inséré dans la requête JSONP, le texte en question est vu comme tel, mais le navigateur l’exécute comme un module Flash.
A partir de là, tout s’enchaîne: le site Web pirate effectue, en direction d’un site légitime, une requête qui comprend le composant Flash piégé, lequel peut alors lire des données sensibles. Celles-ci sont automatiquement renvoyées au site d’origine. Tous les sites qui implémentent JSONP sont potentiellement concernés par cette attaque. Et ils sont nombreux. Au même titre que Twitter et Tumblr, Google a modifié ses services – y compris YouTube – pour filtrer les requêtes piégées. A contrario, eBay et Instagram restent vulnérables aux dernières nouvelles.
Adobe a également réagi en interdisant un tel usage de Flash dans la dernière version de son plugin (14.0.0.145 sur Windows et OS X ; 11.2.202.394 sous Linux ; 13.0.0.231 pour certains systèmes d’exploitation anciens). Les utilisateurs du navigateur Web Google Chrome disposeront automatiquement de cette mise à jour. Il en va de même pour ceux qui surfent sur Internet Explorer 10 ou 11 sous Windows 8/8.1 ou Windows Server 2012/2012 R2.
Pour les autres, la mise à niveau devra se faire manuellement. Le mieux est de vérifier sur cette page Web si on dispose déjà de la dernière version de Flash. Si ce n’est pas le cas, le téléchargement se passe ici. Comme le note Silicon.fr, cette mise à jour est d’autant plus importante qu’elle corrige trois vulnérabilités, dont certaines présentant un risque de prise de contrôle à distance.
—— A voir aussi ——
Quiz ITespresso.fr : incollable sur les logiciels Adobe ?
Crédit photo : Sam72 – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…