Encore une faille hautement critique dans le plug-in Flash

0
226

Flash a beau être en phase terminale, il continue à être un vecteur d’attaque de prédilection pour les pirates. Dernier exemple en date avec l’alerte CVE-2018-4878 faisant état d’une énième faille 0-day critique dans le plug-in.

Sécurité : Un contenu piégé inséré dans une page Web ou un document permet une prise de contrôle à distance. Adobe ne prévoit pas de patch avant la semaine prochaine.

Un simple contenu piégé inséré dans une page Web ou un document bureautique permet une prise de contrôle à distance de la machine infectée. Autre souci : Adobe n’a pas encore mis à disposition un correctif, ce dernier sera diffusé « dans le courant de la semaine prochaine ». Le premier conseil est donc de désactiver le greffon.

La vulnérabilité a été détectée en Corée du Sud, où elle est exploitée. D’ailleurs, selon des chercheurs du pays, il s’agirait d’une opération d’espionnage menée par le frère ennemi de la Corée du Nord.

Rappelons qu’en 2020, Flash Player disparaîtra pour de bon et ne manquera sans doute pas à personne… Adobe a officialisé en juillet dernier la mort de son plugin tant décrié qui a accompagné l’essor de l’Internet avant de devenir l’un des principaux talon d’Achille des navigateurs web. Dans les faits, Flash est déjà largement battu en brèche par les standards ouverts.

“Alors que les standards ouverts comme HTML5, WebGL et WebAssembly ont atteint leur maturité au cours des dernières années, la plupart assurent désormais les fonctionnalités que les plugins ont initié et sont devenus une alternative viable pour les contenus sur le Web”, reconnaît Adobe.

Mais cela fait déjà longtemps que les grands navigateurs ont commencé à planter les clous dans le cercueil de Flash. Dans Firefox, Edge et Internet Explorer, il est possible d’être systématiquement alerté avant activation de Flash. Dans Chrome, ces alertes sont automatiques.

Laisser un commentaire