Pour la troisième fois en une semaine, des chercheurs ont découvert une vulnérabilité zero-day dans Le lecteur Flash d’Adobe plug-in de navigateur. Comme les deux découvertes précédentes, celle-ci n’a été révélée qu’après que des pirates ont mis en ligne d’énormes quantités de documents volés à Équipe de piratage — une société de sécurité italienne qui vend des exploits logiciels aux gouvernements du monde entier.
La nouvelle de la dernière faille Flash vient de Trend Microlequel mentionné il a signalé le bogue (CVE-2015-5123) à l’équipe de sécurité d’Adobe. Adobe a confirmé qu’il travaillait sur un correctif pour les deux vulnérabilités exceptionnelles du jour zéro exposées dans la violation de Hacking Team.
Nous continuerons probablement à voir apparaître d’autres bogues Flash Zero Day à la suite de cette violation. Au lieu d’attendre qu’Adobe corrige une autre faille dans Flash, veuillez envisager de supprimer ou au moins de bloquer ce programme.
Google Chrome est livré avec sa propre version de Flash préinstallée, mais la désactiver est assez simple. Sur un les fenêtres, Mac, Linux ou Système d’exploitation Chrome l’installation de Chrome, tapez « chrome:plugins » dans la barre d’adresse, et sur la page Plug-ins recherchez la liste « Flash »: Pour désactiver Flash, cliquez sur le lien de désactivation (pour le réactiver, cliquez sur « activer ») .
Les utilisateurs de Windows peuvent supprimer Flash des navigateurs autres que Chrome à partir du panneau Ajout/Suppression de programmes et/ou en utilisant cet outil de suppression de flash. Notez que vous devez quitter tous les navigateurs Web avant d’exécuter l’outil. Pour vérifier que Flash a été supprimé, visitez cette page; s’il indique que votre navigateur a besoin de Flash, vous l’avez supprimé avec succès.
Pour les utilisateurs de Mac, AppleInsider porte une histoire aujourd’hui qui contient des instructions solides pour supprimer le programme d’OS X une fois pour toutes.
« Flash est devenu un tel cauchemar pour la sécurité de l’information que le directeur de la sécurité de Facebook a demandé à Adobe de désactiver la plate-forme dès que possible et de demander aux fournisseurs de navigateurs de l’arrêter de force », a déclaré AppleInsider. Shane Cole écrit. « Bien que la plupart des exploits ciblent Windows, les utilisateurs de Mac ne sont pas invincibles. »
J’ai complètement supprimé Flash il y a plus d’un mois et je n’ai pas du tout raté le programme. Malheureusement, certains sites, y compris de nombreux sites Web gouvernementaux, peuvent inviter les utilisateurs à installer Flash pour afficher certains contenus. Peut-être est-il temps de lancer une pétition pour supprimer complètement Flash Player des sites Web du gouvernement américain ? Si vous êtes d’accord, faites entendre votre voix ici. Pour en savoir plus sur la diffusion de Flash, consultez la campagne sur OccupyFlash.org.
Si vous décidez que supprimer complètement Flash ou le désactiver jusqu’à ce que vous en ayez besoin n’est pas pratique, il existe des solutions intermédiaires. Applications bloquant les scripts comme Noscript et ScriptSafe sont utiles pour bloquer le contenu Flash, mais les bloqueurs de scripts peuvent être difficiles à gérer pour de nombreux utilisateurs.
Une autre approche est le click-to-play, qui est une fonctionnalité disponible pour la plupart des navigateurs (sauf IE, malheureusement) qui bloque le chargement du contenu Flash par défaut, remplaçant le contenu des sites Web par une case vide. Avec click-to-play, les utilisateurs qui souhaitent voir le contenu bloqué n’ont qu’à cliquer sur les cases pour activer le contenu Flash à l’intérieur (click-to-play bloque également le chargement des applets Java par défaut).
Les utilisateurs de Windows qui décident de garder Flash installé et/ou activé doivent également tirer pleinement parti de la Boîte à outils d’expérience d’atténuation améliorée (EMET), un outil gratuit de Microsoft qui peut aider les utilisateurs de Windows à renforcer la sécurité des applications tierces.