Adobe la semaine passée avec le plugin Flash, Apple ce mardi avec le navigateur Web Safari : les mises à jour se suivent et se ressemblent… tout du moins en matière de sécurité.
Diffusées depuis le 12 mars, les nouvelles versions de Flash pour Windows, Mac, Linux, Google Chrome et Internet Explorer corrigent un total de 11 failles. Ces dernières sont toutes considérées critiques : elles peuvent permettre à des tiers de prendre le contrôle d’une machine à distance et généralement sans authentification, le tout avec les privilèges de la session en cours.
Ces brèches sont exploitables à travers des contenus malveillants qui entraînent des corruptions de mémoire. Illustration avec les vulnérabilités répertoriées CVE-2015-0334 et CVE-2015-033- : toutes deux consistent à tromper Flash sur le type de données qu’il manipule. Comment ? En créant plusieurs pointeurs se référant à une même adresse mémoire, mais incompatibles entre eux.
Dans un autre registre, la faille CVE-2015-0337 permet de contourner le dispositif Same Origin Policy, qui régit la manière dont un document ou un script peut interagir avec un élément chargé depuis une autre source. Quant à la CVE-2015-0340, elle permet de passer outre certaines restrictions imposées à l’envoi de fichiers.
On notera également la faille CVE-2015-0338, du même type que celle qui avait entraîné la destruction de la fusée Ariane 5 lors de son vol inaugural en 1996 : un dépassement d’entier. Ce type de situation se produit lorsqu’une opération mathématique génère une valeur numérique supérieure à celle représentable dans l’espace de stockage disponible.
Sur les onze vulnérabilités corrigées, dont 5 découvertes par l’équipe Project Zero de Google, quatre (référencées 0332, 0333, 0335 et 0339) sont gratifiées de l’indice de criticité maximal : 10 sur une échelle de 10. Adobe ne précise pas de quelle manière elles sont exploitables.
Les utilisateurs de Flash en version desktop sur les environnement Windows et mac sont invités à passer en version 17.0.0.134 (11.2.202.451 sur les systèmes Linux). Le plugin sera mis à jour automatiquement sur Google Chrome, ainsi que sur Internet Explorer, mais uniquement pour Windows 8.x dans ce dernier cas.
Ce mardi, c’était au tour d’Apple de passer en mode correctif. Pas moins de 17 failles sont éliminées avec la nouvelle mouture de Safari (8.0.4 sur OS X 10.10 « Yosemite » ; 7.1.4 sur OS X 10.9 « Mavericks » ; 6.2.4 sur OS X 10.8 « Mountain Lion »).
Toutes ces vulnérabilités concernent le moteur de rendu WebKit. Elles ont pour l’essentiel trait à des problèmes de corruption mémoire pouvant mener à un plantage de l’application… ou à l’injection de code arbitraire via des pages Web malveillantes.
A noter cette faille « isolée », répertoriée CVE-2015-1084 et qui permettait à des tiers de modifier l’affichage des adresses URL dans la barre principale pour masquer les redirection vers des sites frauduleux dans le cadre d’attaques par phishing (hameçonnage).
Crédit photo : igor.stevanovic – Shutterstock.com
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
