Le ministère de la Sécurité intérieure Équipe américaine de préparation aux urgences informatiques (US-CERT) met en garde contre une faille de sécurité dangereuse dans Le lecteur Shockwave d’Adobe qui pourraient être utilisés pour installer silencieusement du code malveillant. L’aspect vraiment choquant de ce bug ? US CERT a d’abord averti Adobe de la vulnérabilité en octobre 2010, et Adobe a déclaré qu’il ne la corrigerait pas avant février 2013.
Shockwave est un plug-in de navigateur dont certains sites ont besoin. Le problème est une fonctionnalité d’Adobe Shockwave qui permet l’installation de « Xtras », des composants téléchargeables destinés à interagir avec le lecteur multimédia. Selon un avis d’US-CERT, le problème est que Shockwave installe des Xtras signés par Adobe ou Macromedia sans invite, ce qui peut permettre à un attaquant de cibler des vulnérabilités dans des Xtras plus anciens.
De l’avis :
Lorsqu’un film Shockwave tente d’utiliser un Xtra, il le télécharge et l’installe si nécessaire. Si l’Xtra est signé par Adobe ou Macromedia, il sera installé automatiquement sans aucune interaction de l’utilisateur. Étant donné que l’emplacement à partir duquel Shockwave télécharge l’Xtra est stocké dans le film Shockwave lui-même, cela peut permettre à un attaquant d’héberger d’anciens Xtra vulnérables qui peuvent être installés et exploités automatiquement lors de la lecture d’un film Shockwave.
L’US-CERT a averti qu’en convainquant un utilisateur d’afficher un contenu Shockwave spécialement conçu (par exemple, une page Web ou un e-mail HTML ou une pièce jointe), un attaquant pourrait être en mesure d’exécuter du code arbitraire avec les privilèges de l’utilisateur.
Contactée par e-mail, une porte-parole d’Adobe a confirmé que l’US-CERT avait alerté l’entreprise de la faille en octobre 2010, mais a déclaré qu’Adobe n’était au courant d’aucun exploit ou attaque actif dans la nature utilisant cette vulnérabilité.
« Adobe a travaillé sur la résolution de ce problème dans la prochaine version majeure d’Adobe Shockwave Player, dont la sortie est actuellement prévue en février 2013 », a déclaré Adobe. Lèvres Wiebke a écrit.
Shockwave est l’un de ces programmes que j’ai exhorté les lecteurs à supprimer ou à éviter d’installer. Comme Java, il s’agit d’un logiciel puissant et très souvent bogué que de nombreuses personnes ont installé mais dont ils n’ont pas vraiment besoin pour la navigation Web quotidienne. Sécuriser votre système signifie non seulement s’assurer que les choses sont verrouillées, mais aussi supprimer les programmes inutiles, et Shockwave est en haut de ma liste sur ce front.
Si vous visitez ce lien et voyez une courte animation, elle devrait vous indiquer quelle version de Shockwave vous avez installée. S’il vous invite à télécharger Shockwave, cela signifie que Shockwave n’est pas installé et que vous n’en avez probablement pas besoin. Les utilisateurs de Firefox doivent noter que la présence du plug-in Shockwave Flash répertorié dans la section des modules complémentaires de Firefox indique une installation du plug-in Adobe Flash Player, et non d’Adobe Shockwave.
En parlant de Java, Oracle a livré une mise à jour de son logiciel Java, qui amène le programme à Java 7 mise à jour 10 ou Java 6 mise à jour 38. Il existe des correctifs de bogues avec ces versions, mais aucune mise à jour de sécurité officielle. Cependant, la mise à jour de Java 7 inclut de nouvelles fonctionnalités conçues pour faciliter la désactivation de Java dans le navigateur. Oracle devrait cesser de fournir des mises à jour pour Java 6 en février 2013.
Thomas Kristensen, le responsable de la sécurité de la société de sécurité Secunia a déclaré qu’il pensait que « ces fonctionnalités ne rendent pas Java plus sûr en soi, cependant, cela permettra probablement aux utilisateurs de sécuriser plus facilement leurs PC car il devient plus facile de gérer certaines restrictions ». Les lecteurs qui souhaitent plus d’informations sur la façon de désactiver Java dans le navigateur et d’adopter ma recommandation pour une approche à deux navigateurs de l’utilisation de Java peuvent consulter cet article de blog. Conclusion : si vous n’avez pas besoin de Java, débarrassez-vous-en.