Microsoft resserre l’étau sur un Flash Player corrigé en urgence
Tandis qu’Adobe diffuse en urgence un correctif de sécurité pour Flash Player, Microsoft prend un peu plus ses distances avec le plugin.
Situation délicate pour Flash Player : tandis qu’Adobe lui administre en urgence un correctif de sécurité, Microsoft s’en distancie un peu plus.
Le premier éditeur mondial annonce qu’Edge, son navigateur Web nouvelle génération intégré dans Windows 10, sera bientôt plus restrictif sur l’affichage de contenus Flash.
La transition interviendra avec la prochaine mise à jour majeure de l’OS (« Anniversary Update », prévue pour cet été), mais la dernière version préliminaire livrée dans le cadre du programme Windows Insider en offre un aperçu.
L’idée est, comme depuis près d’un an sur Google Chrome, de bloquer le rendu de certains éléments. En l’occurrence, ceux considérés comme « périphériques », c’est-à-dire non essentiels à l’expérience utilisateur, afin d’économiser des ressources : processeur, mémoire, batterie…
Dans l’approche de Microsoft, la publicité en fait partie, au contraire des jeux et des vidéos.
Adobe a dû composer avec un délai beaucoup plus court pour diffuser, à la hâte, un correctif.
Celui-ci corrige 24 failles, dont 13 associées à des problèmes de corruption de mémoire.
L’une d’entre elles, répertoriée CVE-2016-1019, est particulièrement préoccupante. Découverte par trois chercheurs de Proofpoint, FireEye et Google avec l’appui d’autres sociétés spécialisée dans la sécurité informatique, elle est activement exploitée sur les systèmes Windows, notamment pour distribuer un ransomware.
Les premières traces ce cette vulnérabilité ont été découvertes fin mars, début avril, dans le kit d’exploit Magnitude.
Les chercheurs se sont aperçus que la faille, mal implémentée, ne touchait pas les dernières versions de Flash*, alors même qu’elle aurait techniquement pu le permettre.
Proofpoint estime qu’elle a servi, pendant plusieurs mois jusqu’à la mi-mars, à diffuser le ransomware Cryptowall. Elle servirait aujourd’hui à distribuer un autre rançongiciel baptisé Cerber, en sachant éviter les machines virtuelles et certains antivirus.
FireEye, qui l’a également repérée dans le kit d’exploit Nuclear Pack, situe la brèche dans une API non documentée (ASnative) dont le détournement permet de lire et d’écrire à volonté dans certaines zones mémoire… et ainsi d’injecter du code via des pages Web malveillantes et/ou des bannières publicitaires compromises.
* Flash Player 21.0.0.182 et les moutures ultérieures sont épargnés.