Adobe : mise à jour de sécurité du lecteur Flash

le 10/04/2008 à 21:41
Adobe : mise à jour de sécurité du lecteur Flash
Estampillée 9.0.124.0, la dernière version en date de l'Adobe Flash Player corrige selon l'éditeur une série d'au moins sept failles de sécurité qualifiées de critiques. L'un des correctifs adresse la vulnérabilité utilisée par un hacker lors de la conférence CanSecWest, début mars. Cette mise à jour intègre également de nouvelles fonctionnalités dédiées à la sécurité. L'une d'elles vise par exemple à protéger la façon dont se font les échanges lorsqu'un script est appelé par une page distante.

D'autre part, indique Adobe, le paramètre AllowScriptAccess, qui gère l'autorisation qu'a un contenu Flash d'exécuter les scripts présents sur la page HTML dans laquelle il est intégré, voit son comportement par défaut modifié. Un second bulletin de sécurité est adressé aux éditeurs de sites Web qui utilisent la technologie Flash, de façon à ce qu'ils puissent éventuellement adapter leur mode de diffusion aux nouvelles contraintes de sécurité liées à cette mise à jour.

A lire également

L'éditeur Adobe a procédé cette semaine à une mise à jour du lecteur Flash, indispensable pour afficher les nombreuses animations - et publicités - qui ornent le Web. Ce correctif, décliné en direction des trois principales familles de systèmes d'exploitation, Windows, Mac OS et Linux, est une réponse à la découverte de différentes failles de sécurité pouvant compromettre la machine d'un utilisateur. Adobe indique qu'en diffusant sur le Web un fichier .swf (animation flash) infecté, un pirate pourrait parvenir à exploiter ces vulnérabilités et prendre à distance le contrôle de la machine affichant le fichier concerné. Le problème affecte les versions 7, 8 et 9 de Flash Player.

Les internautes sont donc invités à procéder à la mise à jour du lecteur Flash. Les utilisateurs de Windows ou de Mac OS se tourneront vers la version 9.0.47.0, tandis que les Linuxiens se dirigeront vers la version 9.0.48.0. Une mouture estampillée 8.0.35.0 est proposée au téléchargement pour les utilisateurs de Flash 8. Enfin, un patch est disponible pour ceux qui ne pourraient pas passer à une version supérieure à Flash 7.

- Détails et liens de téléchargement sur le site d'Adobe
En marge des logiciels de partage peer-to-peer, certains pirates ont concentré leurs efforts sur une faille de sécurité du serveur d'Adobe Flash afin de capturer le flux de lecture des films.

Plusieurs distributeurs de vidéo à la demande, tels que Amazon, CBS.com ou NBC.com utilisent le logiciel Adobe Flash Server afin d'encoder leurs films au format Flash pour les proposer ensuite aux Internautes via une formule de souscription. Cependant, le logiciel ne chiffre pas la vidéo et ne se contente que de proposer des boutons de lecture (lecture, pause...). Aussi, afin d'accélérer le téléchargement flux de lecture, Adobe a choisi de ne pas sécuriser la connexion entre le logiciel et l'utilisateur.

Face à ce problème, Adobe a déployé au début du mois une mise à jour du lecteur afin de corriger la faille et, selon un porte-parole, la société aurait mis en place une technologie de chiffrage afin d'enrayer l'enregistrement des flux au travers du lecteur d'Adobe. Pourtant, selon Reuters, certains outils permettant de capturer le flux vidéo, tel que le logiciel Replay Media Catcher de Applian Technologies, fonctionnent toujours. Bill Dettering, PDG de Applian affirme: "le flux d'Adobe n'est pas réellement sécurisé. Au sein du logiciel, l'une de leurs erreurs est que l'on peut capturer les flux. ". En plus d'enregistrer le film, le logiciel propose aussi de séparer les publicités dans un dossier distinct afin d'éviter toute coupure indésirable.

Alors l'exploitation du flux de lecture serait-elle la nouvelle bête noire de l'industrie cinématographique? Pas sûr. En effet, selon l'analyste James McQuivey du cabinet Forrester Research "pour la plupart des utilisateurs, c'est trop compliqué [...] les gens veulent du contenu que l'on peut trouver facilement et regarder simplement". Mais ce n'est pas l'avis de tout le monde. Reuters rapporte les propos de Brian Baker, directeur de Widevine, une plateforme permettant de proposer plusieurs formats d'encodage pour les services de VoD : "le problème fondamental c'est que le manque de technologie d'Adobe ne permet pas de garantir le modèle économique actuel."

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours