Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : Adobe Flash au coeur d’une attaque massive

Des cookies aux clés de sessions, les informations de connexion liées à la navigation Web sont menacées par une attaque massive se déroulant actuellement sur Internet.

Pour voler ces données, les pirates combinent plusieurs fonctionnalités avancées proposées par le greffon Flash d’Adobe, par les navigateurs modernes et par les sites Web de dernière génération. Ils s’appuient sur une requête JSONP permettant à un site de demander des données à un autre… et sur l’outil Rosetta Flash, utilisé pour convertir des modules Flash en texte. Une fois inséré dans la requête JSONP, le texte en question est vu comme tel, mais le navigateur l’exécute comme un module Flash.

A partir de là, tout s’enchaîne: le site Web pirate effectue, en direction d’un site légitime, une requête qui comprend le composant Flash piégé, lequel peut alors lire des données sensibles. Celles-ci sont automatiquement renvoyées au site d’origine. Tous les sites qui implémentent JSONP sont potentiellement concernés par cette attaque. Et ils sont nombreux. Au même titre que Twitter et Tumblr, Google a modifié ses services – y compris YouTube – pour filtrer les requêtes piégées. A contrario, eBay et Instagram restent vulnérables aux dernières nouvelles.

Adobe a également réagi en interdisant un tel usage de Flash dans la dernière version de son plugin (14.0.0.145 sur Windows et OS X ; 11.2.202.394 sous Linux ; 13.0.0.231 pour certains systèmes d’exploitation anciens). Les utilisateurs du navigateur Web Google Chrome disposeront automatiquement de cette mise à jour. Il en va de même pour ceux qui surfent sur Internet Explorer 10 ou 11 sous Windows 8/8.1 ou Windows Server 2012/2012 R2.

Pour les autres, la mise à niveau devra se faire manuellement. Le mieux est de vérifier sur cette page Web si on dispose déjà de la dernière version de Flash. Si ce n’est pas le cas, le téléchargement se passe ici. Comme le note Silicon.fr, cette mise à jour est d’autant plus importante qu’elle corrige trois vulnérabilités, dont certaines présentant un risque de prise de contrôle à distance.

—— A voir aussi ——
Quiz ITespresso.fr : incollable sur les logiciels Adobe ?

Crédit photo : Sam72 – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

5 mois ago