Flash Player : une classe d'ActionScript jugée trop peu sécurisée

Un lecteur de Clubic explique avoir repéré un comportement étrange au sein du plugin Flash Player, lequel permet d'établir une communication directe entre la page web et les composants du système.

00AF000004436504-photo-logo-adobe-flash.jpg
Interrogé par nos soins, Mike explique s'être intéressé à la classe LocalConnection du langage de programmation ActionScript utilisé par Adobe Flash. Théoriquement, cette classe permet d'établir une communication entre deux fichiers SWF. Sur son site officiel Adobe explique ainsi : «  Les objets LocalConnection ne peuvent communiquer qu'avec les fichiers SWF s'exécutant sur un même ordinateur client, mais peuvent s'exécuter dans diverses applications ; un fichier SWF s'exécutant dans un navigateur et un autre dans une projection, par exemple.  ». Sur une boutique en ligne, après la sélection d'un article, cela permet par exemple d'actualiser le panier. Le transfert des données est effectué au sein d'une mémoire partagée normalement restreinte au lecteur.

Il semblerait en revanche que la classe LocalConnection puisse également être utilisée pour effectuer d'autres types de commandes. Mike a mis au point un site de démonstration ainsi qu'un petit programme imitant un malware. Ce dernier peut-être porté sur n'importe quel système et être « optimisé pour ne peser que 2 Ko ». Dans la mesure où ce programme n'accède à aucun port de connexion il n'est détecté par aucun antivirus. Il suffit d'entrer des commandes au sein d'une page web dotée d'un module Flash pour que celles-ci soient réalisée... directement sur sa machine.

Plutôt que d'écrire une commande manuellement comme dans l'exemple ci dessous, l'on pourrait imaginer un site frauduleux invitant l'internaute à cliquer sur un lien pour transférer ainsi une commande d'envoi de spam ou pour récupérer des informations en local et les retourner vers un serveur distant. Le prototype ci dessous montre par exemple qu'il est possible de mettre la machine en veille.

« On peut tout faire », explique Mike, « et ca fonctionne sur n'importe quel navigateur, à l'exception de Chrome 21 ». La dernière version du navigateur de Google confine effectivement le plugin au sein d'un mode sandbox, l'empêchant ainsi de communiquer avec la machine de l'utilisateur.

La faille a été repérée il y a huit mois et Mike affirme avoir contacté Adobe à plusieurs reprises. Ce comportement a précédemment été observé par des cabinet de sécurité mais n'a pas été corrigé par Adobe. « A chaque mise à jour de Flash j'ai retesté », affirme Mike. Opera, Internet Explorer, Firefox ou encore Safari sont vulnérables sur Windows XP, Vista , 7, OS X Leopard, Snow Leopard, Lion ou Mountain Lion. Sur Linux, « c'est le système des droits qui au final interdira des gros dégâts », nous précise-t-on.

Voici une vidéo de démonstration :

Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Cet écran gaming LG Ultragear est à prix cassé sur Amazon !
Resident Evil Village : un record d’affluence sur Steam lors du week-end de lancement
Une console Apple hybride au centre de rumeurs, quel crédit leur donner ?
Bon plan forfait : dernières heures pour le forfait RED by SFR à 5€
Woolaroo : le projet de Google visant à apprendre les langages indigènes
Les AirTags d'Apple déjà hackés par des chercheurs qui en modifient l'adresse du NFC
D'après Bureau Veritas, OVH doit prévoir des travaux sur le datacenter de Roubaix pour la prévention d'incendies
Ethereum : tour d'horizon et chiffres clés sur l'écosystème de la deuxième cryptomonnaie mondiale
Test des AirTags : l'accessoire Apple indispensable des têtes en l'air ?
FLoC : Brave, DuckDuckGo, GitHub, WordPress… Pourquoi une telle levée de boucliers contre Google ?
Haut de page