IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Flash/Flex Discussion :

Flash Player : nouvelle faille Zero-day critique


Sujet :

Flash/Flex

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 549
    Points
    68 549
    Par défaut Flash Player : nouvelle faille Zero-day critique
    Adobe corrige la faille Zero-day de Flash Player
    Il s'agit d'une attaque par corruption de mémoire "très ciblée et sophistiquée"

    Mise à jour du 18/04/2011 par Idelways


    La faille Zero-day critique de Flash Player, découverte la semaine passée et exploitée via des pièces jointes Word malicieuses, vient d'être colmatée par Adobe pour la plupart des plateformes.

    L'entreprise a sorti la version 10.2.159.1 pour Windows, Linux et Mac OS X ainsi que la version 10.0.648.205 spécifique au lecteur Flash intégré au navigateur Chrome. En outre, Adobe recommande aux utilisateurs d'Adobe AIR de passer à la nouvelle version 2.6.19140.

    La déclinaison de Flash Player pour Android devrait être patchée à son tour d'ici le 25 avril prochain.

    Ces versions corrigent une vulnérabilité de type corruption de mémoire qui permet aux attaquants d'exécuter du code tiers et d’installer un cheval de trois.

    D'après la chercheuse en sécurité Mila Parkour, il s'agit toutefois d'une attaque « très sophistiquée » avec des emails extrêmement bien ciblés.

    En suivant les traces des messages infectés, le premier email semble remonter au 8 avril. Il a été envoyé à partir d'une boite Hotmail usurpant l'identité de l'Association américaine du barreau, qui dispose d'une lettre d'information régulière.

    La fausse lettre d'information ainsi envoyée, contient quatre articles issus — soi-disant — d'un symposium spécialisé dans le droit de concurrence chinois. L'un de ces articles en particulier a été conçu pour attirer fortement l'attention des avocats anglophones intéressés par l'économie et le droit de l'Empire du Milieu, son titre : « Démêler la politique industrielle et politique de la concurrence en Chine ».

    Plus techniquement, la composition Flash malicieuse intégrée au document Word exploite directement une corruption de mémoire une fois lancée avec Word 2007 sous Windows 7. Elle y installe une porte dérobée dans le système, qui n'agit que sur la session de l'utilisateur en cours et réapparait après redémarrage ou changement de session.

    Cependant, l'ouverture seule du document ne suffit pas à déclencher l'attaque sous Windows XP qui nécessite un minimum d'interaction (un clic sur l'entête et un autre sur l'objet Flash).
    Quoi qu'il en soit, le malware remplace le fichier mspmsnsv.dll avec une version boguée et modifie le registre pour lancer le programme aux prochains démarrages de Windows XP.

    D'après la chercheuse en sécurité, l'attaque contient de nombreux indices qui montrent du doigt des hackers chinois.

    Les systèmes infectés créent des connexions FTP à l'adresse IP 123.123.123.123 appartenant à l'opérateur téléphonique chinois Unicom (pour voler les données des victimes)
    La session de connexion contient par ailleurs l'information d'entête User Agent avec la valeur « zh-cn » qui correspond à la langue chinoise. Le CodePage du document Word (qui définit les polices utilisées) correspondent aussi au Chinoix Simplifié sous Windows.

    Il s'agit donc probablement d'une attaque sophistiquée destinée à infecter et voler les données des spécialistes occidentaux intéressés ou ayant des intérêts en chine.

    Le malware pourrait toutefois être justement conçu pour faire porter le chapeau à des Chinois et détourner l'attention sur l'identité des véritables criminels...


    Source : bulletin de sécurité d'Adobe, blog de Mila Parkour

    Et vous ?

    Que pensez-vous de l'attaque et de la technique utilisée ?
    Qui serait selon-vous derrière cette attaque ?


    Flash Player : nouvelle faille Zero-day critique
    Exploitée via des documents Word infectés, elle permet de prendre le contrôle total de la machine




    Adobe vient de reconnaitre une nouvelle faille Zero-day critique de son lecteur Flash et affirme travailler d'arrache-pied pour sortir rapidement un correctif.

    Cette faille est activement exploitée par les pirates pour tromper la vigilance des utilisateurs avec des emails de hameçonnage.
    Les victimes reçoivent des documents Microsoft Word en pièce jointe, qui contiennent des compositions Flash malicieuses permettant aux attaquants de prendre le contrôle total des machines de leurs victimes en y installant un malware baptisé Zolpiq.

    La faille concerne les versions de Flash Player 10.2.153.1 ou antérieures pour Windows, Mac OS, Linux et Solaris et les versions 10.2.154.25 ou antérieurs pour Google Chrome et Android.

    La vulnérabilité est aussi présente dans le fichier authplay.dll, utilisé par Adobe Reader et Acrobat X pour intégrer des compositions flash dans les fichiers PDF. L'exploit n'a cependant pas pu être reproduit avec les PDF d’après Adobe. Le mode protégé des dernières versions d'Adobe Reader confine l’exploit et protège le système sous-jacent.

    Pour ne rien arranger, seulement une solution antivirus sur 42 a été en mesure de détecter cette vulnérabilité à l'heure de la publication du bulletin de sécurité d'Adobe.

    La suite de bureautique Microsoft Office de par sa popularité devient en tout cas une cible de prédilection pour véhiculer et abuser des exploits découverts sur les produits Adobe.

    Au mois de mars passé, une autre faille Zero-day tout aussi critique touchait les fichiers tableurs Excel envoyés par email en pièce jointe.
    Cette faille avait rendu possible l'intrusion aux systèmes de la compagnie RSA (qui fournit les récepteurs pour les authentifications fortes, dit « Token ») et le vol d'informations critiques.

    Adobe devrait sortir un correctif dans la semaine, mais doit surtout revoir vite et en profondeur la sécurité de l'intégration de son lecteur dans la suite de Microsoft.

    Source : bulletin de sécurité d'Adobe

  2. #2
    Membre confirmé
    Inscrit en
    Février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 230
    Points : 581
    Points
    581
    Par défaut
    Je croyais que Flash était sandboxé depuis la 10.2 O_o

    Seul Acrobat l'est?

  3. #3
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    Mai 2007
    Messages
    132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2007
    Messages : 132
    Points : 419
    Points
    419
    Par défaut
    Salut,

    Malgré la protection de type "sandbox" les pirates arrivent à trouver des moyens pour contourner celle-ci malheureusement, ici car le composant flash est embarqué dans un document word

    Une analyse du mode d'infection sur technet : http://blogs.technet.com/b/mmpc/arch...loitation.aspx

    J'espère qu'Adobe va pouvoir rapidement trouver une solution

  4. #4
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 549
    Points
    68 549
    Par défaut
    Adobe corrige la faille Zero-day de Flash Player
    Il s'agit d'une attaque par corruption de mémoire "très ciblée et sophistiquée"

    Mise à jour du 18/04/2011 par Idelways


    La faille Zero-day critique de Flash Player, découverte la semaine passée et exploitée via des pièces jointes Word malicieuses, vient d'être colmatée par Adobe pour la plupart des plateformes.

    L'entreprise a sorti la version 10.2.159.1 pour Windows, Linux et Mac OS X ainsi que la version 10.0.648.205 spécifique au lecteur Flash intégré au navigateur Chrome. En outre, Adobe recommande aux utilisateurs d'Adobe AIR de passer à la nouvelle version 2.6.19140.

    La déclinaison de Flash Player pour Android devrait être patchée à son tour d'ici le 25 avril prochain.

    Ces versions corrigent une vulnérabilité de type corruption de mémoire qui permet aux attaquants d'exécuter du code tiers et d’installer un cheval de trois.

    D'après la chercheuse en sécurité Mila Parkour, il s'agit toutefois d'une attaque « très sophistiquée » avec des emails extrêmement bien ciblés.

    En suivant les traces des messages infectés, le premier email semble remonter au 8 avril. Il a été envoyé à partir d'une boite Hotmail usurpant l'identité de l'Association américaine du barreau, qui dispose d'une lettre d'information régulière.

    La fausse lettre d'information ainsi envoyée, contient quatre articles issus — soi-disant — d'un symposium spécialisé dans le droit de concurrence chinois. L'un de ces articles en particulier a été conçu pour attirer fortement l'attention des avocats anglophones intéressés par l'économie et le droit de l'Empire du Milieu, son titre : « Démêler la politique industrielle et politique de la concurrence en Chine ».

    Plus techniquement, la composition Flash malicieuse intégrée au document Word exploite directement une corruption de mémoire une fois lancée avec Word 2007 sous Windows 7. Elle y installe une porte dérobée dans le système, qui n'agit que sur la session de l'utilisateur en cours et réapparait après redémarrage ou changement de session.

    Cependant, l'ouverture seule du document ne suffit pas à déclencher l'attaque sous Windows XP qui nécessite un minimum d'interaction (un clic sur l'entête et un autre sur l'objet Flash).
    Quoi qu'il en soit, le malware remplace le fichier mspmsnsv.dll avec une version boguée et modifie le registre pour lancer le programme aux prochains démarrages de Windows XP.

    D'après la chercheuse en sécurité, l'attaque contient de nombreux indices qui pointent du doigt des hackers chinois.

    Les systèmes infectés créent des connexions FTP à l'adresse IP 123.123.123.123 appartenant à l'opérateur téléphonique chinois Unicom (pour voler les données des victimes)
    La session de connexion contient par ailleurs l'information d'entête User Agent avec la valeur « zh-cn » qui correspond à la langue chinoise. Le CodePage du document Word (qui définit les polices utilisées) correspondent aussi au Chinoix Simplifié sous Windows.

    Il s'agit donc probablement d'une attaque sophistiquée destinée à infecter et voler les données des spécialistes occidentaux intéressés ou ayant des intérêts en chine.

    Le malware peut toutefois être justement conçu pour faire porter le chapeau à des Chinois et détourner l'attention sur l'identité des véritables criminels...


    Source : bulletin de sécurité d'Adobe, blog de Mila Parkour

    Et vous ?

    Que pensez-vous de l'attaque et de la technique utilisée ?
    Qui serait selon-vous derrière cette attaque ?

  5. #5
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    décidément ces chinois sont partout!

Discussions similaires

  1. Une faille zero day dans Flash Player menace Windows, Mac OS X et Linux
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 6
    Dernier message: 05/05/2014, 13h17
  2. Une nouvelle faille zero-day dans IE10 a été découverte
    Par Francis Walter dans le forum Sécurité
    Réponses: 3
    Dernier message: 28/02/2014, 08h51
  3. Nouvelle faille zero-day activement exploitée dans Adobe Reader
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 7
    Dernier message: 14/02/2013, 18h28
  4. Flash Player : nouvelle faille Zero-day critique
    Par Idelways dans le forum Actualités
    Réponses: 0
    Dernier message: 12/04/2011, 11h10
  5. Réponses: 3
    Dernier message: 29/10/2010, 14h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo