🔴 LE BLACK FRIDAY EN DIRECT !

Flash Player : une classe d'ActionScript jugée trop peu sécurisée

01 juin 2018 à 15h36
0
Un lecteur de Clubic explique avoir repéré un comportement étrange au sein du plugin Flash Player, lequel permet d'établir une communication directe entre la page web et les composants du système.

00AF000004436504-photo-logo-adobe-flash.jpg
Interrogé par nos soins, Mike explique s'être intéressé à la classe LocalConnection du langage de programmation ActionScript utilisé par Adobe Flash. Théoriquement, cette classe permet d'établir une communication entre deux fichiers SWF. Sur son site officiel Adobe explique ainsi : «  Les objets LocalConnection ne peuvent communiquer qu'avec les fichiers SWF s'exécutant sur un même ordinateur client, mais peuvent s'exécuter dans diverses applications ; un fichier SWF s'exécutant dans un navigateur et un autre dans une projection, par exemple.  ». Sur une boutique en ligne, après la sélection d'un article, cela permet par exemple d'actualiser le panier. Le transfert des données est effectué au sein d'une mémoire partagée normalement restreinte au lecteur.

Il semblerait en revanche que la classe LocalConnection puisse également être utilisée pour effectuer d'autres types de commandes. Mike a mis au point un site de démonstration ainsi qu'un petit programme imitant un malware. Ce dernier peut-être porté sur n'importe quel système et être « optimisé pour ne peser que 2 Ko ». Dans la mesure où ce programme n'accède à aucun port de connexion il n'est détecté par aucun antivirus. Il suffit d'entrer des commandes au sein d'une page web dotée d'un module Flash pour que celles-ci soient réalisée... directement sur sa machine.

Plutôt que d'écrire une commande manuellement comme dans l'exemple ci dessous, l'on pourrait imaginer un site frauduleux invitant l'internaute à cliquer sur un lien pour transférer ainsi une commande d'envoi de spam ou pour récupérer des informations en local et les retourner vers un serveur distant. Le prototype ci dessous montre par exemple qu'il est possible de mettre la machine en veille.

« On peut tout faire », explique Mike, « et ca fonctionne sur n'importe quel navigateur, à l'exception de Chrome 21 ». La dernière version du navigateur de Google confine effectivement le plugin au sein d'un mode sandbox, l'empêchant ainsi de communiquer avec la machine de l'utilisateur.

La faille a été repérée il y a huit mois et Mike affirme avoir contacté Adobe à plusieurs reprises. Ce comportement a précédemment été observé par des cabinet de sécurité mais n'a pas été corrigé par Adobe. « A chaque mise à jour de Flash j'ai retesté », affirme Mike. Opera, Internet Explorer, Firefox ou encore Safari sont vulnérables sur Windows XP, Vista , 7, OS X Leopard, Snow Leopard, Lion ou Mountain Lion. Sur Linux, « c'est le système des droits qui au final interdira des gros dégâts », nous précise-t-on.

Voici une vidéo de démonstration :

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Le service Pulse lance une web app... optimisée pour IE10
Battle.net victime d'une intrusion, des données dans la nature
Nokia revend 500 brevets pour 22 millions de dollars
Dopé par Tegra, Nvidia signe un deuxième trimestre en croissance
Google Translate : l'application Android lit désormais via l'appareil photo
Affaire Safari : Google accepte une amende de 22,5 millions de dollars
Google Drive : bientôt une bibliothèque de photos gratuites pour illustrer les documents
Gauss : un nouveau virus espionne les transactions financières
Silverstone lance son alimentation SFX 450W 80 Plus Gold
PC : Acer en passe de détrôner HP sur le marché français
Haut de page