Ce 23.12.2007
Les failles toujours à la fête 
Des milliers de sites web, contenant des animations Flash, pourraient permettre à des internautes malveillants de dérober des informations sensibles, tels que login et mot de passe, de leurs visiteurs.Les chercheurs en sécurité informatique de Google ont rapportés des vulnérabilités sérieuses dans des contenus Adobe Flash. Ces vulnérabilités toucheraient des milliers de sites web qui pourraient permettre à un internaute malveillant de dérober des informations personnelles des visiteurs de ces sites web.
La vulnérabilité réside dans les applets Flash, du type lecteur vidéo de YouTube ou MySpace, qui animent différents sites web. Les fichiers SWF sont vulnérables à l'injection de chaînes de caractères forgés par le biais d'attaques du type cross-site scripting (XSS). Près de 500 000 applets de sites web d'entreprises reconnus, de sites web gouvernementaux ou de sites web de médias seraient vulnérables.
Cette vulnérabilité a été révélée dans le livre "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions" disponible sur Amazon.
Un scénario d'attaque type avec ces nouvelles vulnérabilités, pourrait se passer de la façon suivante :
- Une banque propose sur son site des animations flash vulnérables.
- Un internaute malveillant incite un des clients de cette banque à cliquer sur un lien forgé, contenant l'attaque du type XSS.
- Cette attaque couplée avec les vulnérabilités Flash SWF pourraient permettre à l'internaute malveillant de récupérer les identifiants banquaire de l'utilisateur cible.
Aucune mise à jour, ou patch, n'est encore disponible, et aucune date pour la mise à disposition d'un patch n'est encore fixée.
La mise à jour de plusieurs produits Adobe de cette semaine, n'est pas liée à ces nouvelles vulnérabilités, et ne corrige en aucun cas celles-ci.
Source : Zataz
