La faille de Flash qui a permis de pirater Vista était connue
En tout cas, ça ne coûte rien de le dire
Lors d’un récent concours de sécurité, trois machines étaient disponibles pour être piratées : un MacBook Air, une sous Vista et enfin la dernière sous Ubuntu. Aucun des trois systèmes n’a été piraté, et il a fallu attendre le deuxième jour et l’inclusion des applications tierces pour que les tentatives fonctionnent.Si le MacBook Air a échoué en premier à cause d’un composant du navigateur Safari, la deuxième machine à tomber était sous Vista, à cause d’une faille du lecteur Flash. En fait, cette faille existant dans le lecteur même, elle était théoriquement exploitable sur l’ensemble des systèmes d’exploitation pouvant l’accueillir. Pour des raisons de connaissance de la plateforme, Shane Macaulay a choisi le portable avec Vista.
Comme le stipulaient très clairement les règles du concours CanSecWest 2008 Pwn2Own, il était strictement interdit de dévoiler publiquement le code utilisé pour les attaques des systèmes. Toute faille non connue et exploitée devait être communiquée de manière responsable à l’éditeur concerné. C’est ce qui a été fait pour Adobe, et la suite n’a pas été immédiatement connue.La société vient de communiquer par l’intermédiaire d’Erick Lee sur le blog de l’Adobe Product Security Incident Response Team (PSIRT). Il y indique ainsi que la société était déjà parfaitement au courant de la faille. Et non seulement elle savait, mais elle avait déjà corrigé le problème. C’est quelque peu étonnant, mais Adobe ne prévoit pas de lancer la mise à jour avant la fin du mois.
On ne saura jamais réellement si cette communication est parfaitement franche, ou si l’éditeur lance cette explication pour faire bonne figure. Il faut bien avouer qu’il ne ressortait pas nécessairement grandi du concours Pwn2Own.
Source :
Adobe
Vincent Hermann
le 7 avril 2008 à 16:01
(22 978
lectures)
Actualités et brèves relatives
- 01 / 04 / 2008 : PWN2OWN 2008 : Leopard et Vista tombent, pas Ubuntu (MÀJ)
- 21 / 01 / 2008 : Skype et DailyMotion unis dans une même faille de sécurité
- 23 / 10 / 2007 : Faille du PDF : le problème vient d'Internet Explorer 7
- 13 / 07 / 2007 : Adobe corrige plusieurs failles dans Flash
- 27 / 04 / 2007 : Secunia avertit les utilisateurs d'une faille dans Photoshop
- 13 / 09 / 2006 : Adobe publie un bulletin pour une faille critique de Flash
- 06 / 04 / 2006 : Les liaisons dangeureuses d'Internet Explorer et Flash
- 08 / 11 / 2005 : Vulnérabilité critique dans le lecteur Flash
