Adobe confirme une faille dans Flash favorisant le clickjacking

Connaissez-vous le clickjacking ? Il s’agit d’un ensemble de techniques qui permettent d’amener l’utilisateur à cliquer dans un endroit d’un site web qui n’est pas forcément visible mais va en tout cas le conduire vers un contenu le plus souvent malveillant.

Les techniques sont connues depuis longtemps et servent le plus souvent à diverses actions, comme la redirection sur un site malveillant, mais pas seulement : on trouve aussi l’augmentation artificielle de pages vues sur un site web ou encore de la publicité détournée. Il ne s’agit pas d’une faille à proprement parler, mais de l’exploitation d’un certain design pour que la réalité ait l’air tout simplement inoffensive. Par contre, quand la méthode implique la faille d’un composant quelconque, les dangers sont autrement plus grands.

Jeremiah Grossman, directeur technique de Whitman Security, indique qu’un développeur peut très bien placer un code malveillant dans le code HTML d’une page web et l’associer à un bouton ou un cadre utilisant des technologies, Flash, Silverlight ou JavaScript. Du coup, tous les navigateurs sont touchés selon les technologies utilisées : Internet Explorer, Firefox, Opera, Safari ou encore Chrome, aucun n’est épargné.

Or, justement, Adobe précise qu’une faille dans le lecteur Flash permet actuellement aux techniques de clickjacking d’aller beaucoup plus loin que d’ordinaire, notamment de prendre le contrôle de la webcam. Le lecteur Flash permet en effet l’accès aux périphériques d’images notamment, mais la faille autorise globalement le contournement de certaines sécurités et la présentation d’informations sensibles.

Si le lecteur flash est installé sur votre machine, Adobe vous recommande de vous rendre sur cette page. Il faut ensuite cliquer sur le bouton « Toujours refuser » et confirmer l’action. Ainsi, le lecteur Flash empêchera tout site d’accéder à la webcam ou au microphone. L’éditeur précise en outre qu’il travaille actuellement sur un correctif.

Source : Adobe

Vincent Hermann le 13 octobre 2008 à 14:32 (13 495 lectures)

Tweeter

• 01 / 10 / 2008 : Flash sur iPhone : Adobe estime que c'est à Apple de décider
• 18 / 09 / 2008 : Adobe : nouvelle Release Candidate pour le lecteur Flash 10
• 04 / 09 / 2008 : Adobe : Photoshop et Flash CS4 dévoilés le 23 septembre
• 02 / 07 / 2008 : Dessin : les sites web en Flash indexés par Google et Yahoo
• 17 / 06 / 2008 : Adobe voit ses bénéfices augmenter de 40 % en un an
• 02 / 05 / 2008 : Adobe ouvre les spécifications de sa technologie Flash
• 10 / 04 / 2008 : Adobe comble une faille critique de son lecteur Flash
• 07 / 04 / 2008 : La faille de Flash qui a permis de pirater Vista était connue

Actu Précédente Actu Suivante