Alerte : Vulnérabilité dans Adobe Flash Player (06.04.16)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Alerte : Vulnérabilité dans Adobe Flash Player (06.04.16)

Messagede pierre » 06 Avr 2016, 22:06

ALERTE : Vulnérabilité critique dans Adobe Flash Player (06 avril 2016)

Cette vulnérabilité est actuellement activement exploitée

Source
Bulletin de sécurité Adobe APSA16-01 du 05 avril 2016
https://helpx.adobe.com/security/produc ... 16-01.html

1 - Risque(s)
exécution de code arbitraire à distance
crash du système affecté
prise de contrôle du système affecté

2 - Systèmes affectés

  • Adobe Flash Player versions 20.0.0.306 et versions antérieures sous Windows (toutes versions - Windows 10 et toutes versions antérieures)
  • Adobe Flash Player versions 21.0.0.197 et versions antérieures sous Macintosh
  • Adobe Flash Player versions 21.0.0.197 et versions antérieures sous Linux
  • Adobe Flash Player versions 21.0.0.197 et versions antérieures sous Chrome OS

3 - Résumé
Une vulnérabilité a été découverte dans Adobe Flash Player. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblant particulièrement les systèmes Windows 7 et Windows XP exécutant Adobe Flash Player version 20.0.0.306.

4 - Contournement provisoire
Adobe indique qu'une mesure de sécurité introduite à partir de la version 21.0.0.182 rend l'exploitation de cette vulnérabilité plus difficile.

Recommandation : désactivez Flash Player (plugin dans vos navigateurs Internet) jusqu'à la mise à disposition d'un correctif par l'éditeur (annoncé par Adobe pour le 7 avril 2016, au plus tôt).

Dans l'attente de la publication du correctif, et comme d'habitude, installez, si ce n'est déjà fait, la dernière version d'EMET (EMET 5.5).
EMET (Microsoft EMET - Enhanced Mitigation Experience Toolkit)

Voir, dans la section documentation ci-dessous, les applications concernées afin de limiter les risques d'exploitation de la vulnérabilité.

5 - Documentation
Bulletin de sécurité Adobe APSA16-01 du 05 avril 2016
https://helpx.adobe.com/security/produc ... 16-01.html

Référence CVE CVE-2016-1019
http://cve.mitre.org/cgi-bin/cvename.cg ... -2016-1019

Déploiement et configuration centralisés d'EMET pour le durcissement des postes de travail et des serveurs Microsoft Windows
http://www.ssi.gouv.fr/administration/g ... t-windows/

EMET 5.5
https://technet.microsoft.com/fr-fr/security/jj653751
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26705
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte : Vulnérabilité dans Adobe Flash Player (06.04.16

Messagede pierre » 07 Avr 2016, 23:14

Mise à jour de l'alerte
07 avril 2016
Adobe indique avoir constaté des attaques ciblant toutes les versions de Windows (et non plus, préférentiellement, Windows 7 et Windows XP).
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26705
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte : Vulnérabilité dans Adobe Flash Player (06.04.16

Messagede pierre » 08 Avr 2016, 20:32

J'espère que tout le monde à fait les mises à jour depuis hier :

Sommes-nous espionnés - Quelle est votre version de Flash
ou
Quelle est ma version de Flash Player et mise à jour de Flash Player

Utilisez les liens directs plutôt que la procédure de mise à jour d'Adobe qui tente 2 Sponsors !

Vous devez être en Flash Player 21.0.0.213 (Windows et Mac)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26705
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte : Vulnérabilité dans Adobe Flash Player (06.04.16

Messagede Silure » 09 Avr 2016, 12:45

Bonjour Pierre et tous.


J'ai la bonne version Flash sous Linux (11.2.202.616). Je crois comprendre que son support doit prendre fin en 2017.

En attendant que tous les sites proposent la lecture intégrée HTML 5; Firefox rejetant la technologie Pepper de Chrome.


@+
Image
Linux user #546171 Config <=
Avatar de l’utilisateur
Silure
Modérateur
 
Messages: 939
Inscription: 15 Juil 2005, 14:10
Localisation: Aquitaine

Re: Alerte : Vulnérabilité dans Adobe Flash Player (06.04.16

Messagede pierre » 09 Avr 2016, 14:10

Fin de la notion même de plugin fin 2016.
De toutes manières, il y a déjà une alternative pour ne plus utiliser Flash sur les sites de vidéos:

Avec Firefox : (mais c'est valable pour les autres grands navigateurs et sous toutes les plateformes)
Supprimer le plug-in Flash (Shockwave Flash) - trop dangereux et inutile - Les plateformes de jeux tournent presque toutes sous Unity3D (API) (et vous avez, probablement, le plugin Unity Player).

Installer l'extension Greasemonkey (version 3.7 actuellement) http://www.greasespot.net/
Ensuite, installer viewtube sous Greasemonkey (la flèche en haut à gauche "ViewTube 2016.03.25") http://isebaro.com/viewtube/?ln=fr

C'est tout !

Cela permet de virer le code flash qui enveloppe (encapsule) les vidéos (et injecte de la pub). On ne conserve que les vidéos elles-mêmes, visibles avec html5.

Éventuellement, vider le cache du navigateur et les cookies des sites de vidéos préalablement visités
Éventuellement, installer ViewTube+ (même adresse : http://isebaro.com/viewtube/?ln=fr)

A faire partout, pour tous, par tous : plus de Flash !

Mozilla:
(Firefox, Seamonkey, IceWeasel, IceCat, TenFourFox etc)
-> with Greasemonkey add-on: https://addons.mozilla.org/firefox/addon/greasemonkey
-> or with Scriptish add-on: https://addons.mozilla.org/firefox/addon/scriptish

Chromium:
(or based on: Chrome, Iron etc)
-> no add-on needed, save the script and drag & drop it on the extensions page
-> or with Tampermonkey add-on: http://code.google.com/p/tampermonkey

Safari:
-> for versions < 5.1 with GreaseKit add-on: http://safariaddons.com/en-US/safari/addon/43
-> for all versions (?) with NinjaKit add-on: http://d.hatena.ne.jp/os0x/20100612/1276330696
-> as bookmarklet with Geekmonkey add-on: http://surber.us/2006/04/14/geekmonkey

Opera:
-> for versions <= 12 no add-on needed, just place the script in the JavaScript files directory
-> or with Violentmonkey extension: https://addons.opera.com/en/extensions/ ... ent-monkey
-> or with Tampermonkey extension: https://addons.opera.com/en/extensions/ ... onkey-beta

Konqueror:
-> with KHTML-Userscript extension: http://kde-apps.org/content/show.php?content=140676

Epiphany:
-> using the Greasemonkey extension from Epiphany extensions

Midori:
-> using “User Addons” extension

QupZilla:
-> using the Greasemonkey plugin

Maxthon:
-> with Violentmonkey extension: http://extension.maxthon.com/detail/ind ... ew_id=1680
-> or with Tampermonkey Chrome extension: https://chrome.google.com/webstore/deta ... ldmpobfkfo

Internet Explorer:
-> using IE7Pro extension: http://ie7pro.com for IE 9+





Viewtube donne accès, sans Flash, à

Code: Tout sélectionner
// ==UserScript==
// @name      ViewTube
// @version      2016.03.25
// @description      Watch videos from video sharing websites without Flash Player.
// @author      sebaro
// @namespace      http://isebaro.com/viewtube
// @license      GPL version 3 or any later version; http://www.gnu.org/copyleft/gpl.html
// @downloadURL   https://raw.githubusercontent.com/sebaro/viewtube/master/viewtube.user.js
// @updateURL      https://raw.githubusercontent.com/sebaro/viewtube/master/viewtube.user.js
// @icon          http://s3.amazonaws.com/uso_ss/icon/87011/large.png
// @include      http://youtube.com*
// @include      http://www.youtube.com*
// @include      https://youtube.com*
// @include      https://www.youtube.com*
// @include      http://gaming.youtube.com*
// @include      https://gaming.youtube.com*
// @include      http://dailymotion.com*
// @include      http://www.dailymotion.com*
// @include      https://dailymotion.com*
// @include      https://www.dailymotion.com*
// @include      http://vimeo.com*
// @include      http://www.vimeo.com*
// @include      https://vimeo.com*
// @include      https://www.vimeo.com*
// @include      http://metacafe.com*
// @include      http://www.metacafe.com*
// @include      https://metacafe.com*
// @include      https://www.metacafe.com*
// @include      http://break.com*
// @include      http://www.break.com*
// @include      https://break.com*
// @include      https://www.break.com*
// @include      http://funnyordie.com*
// @include      http://www.funnyordie.com*
// @include      https://funnyordie.com*
// @include      https://www.funnyordie.com*
// @include      http://veoh.com*
// @include      http://www.veoh.com*
// @include      https://veoh.com*
// @include      https://www.veoh.com*
// @include      http://viki.com*
// @include      http://www.viki.com*
// @include      https://viki.com*
// @include      https://www.viki.com*
// @include      http://imdb.com*
// @include      http://www.imdb.com*
// @include      https://imdb.com*
// @include      https://www.imdb.com*
// @include      http://facebook.com*
// @include      http://www.facebook.com*
// @include      https://facebook.com*
// @include      https://www.facebook.com*
// @grant         GM_xmlhttpRequest
// @grant         GM_setValue
// @grant         GM_getValue
// ==/UserScript==






Viewtube+ ajoute les scripts pour :

Code: Tout sélectionner
// ==UserScript==
// @name      ViewTube+
// @version      2016.04.01
// @description      Watch videos from video sharing websites without Flash Player.
// @author      sebaro
// @namespace      http://isebaro.com/viewtube
// @license      GPL version 3 or any later version; http://www.gnu.org/copyleft/gpl.html
// @downloadURL   https://raw.githubusercontent.com/sebaro/viewtube/master/viewtubeplus.user.js
// @updateURL      https://raw.githubusercontent.com/sebaro/viewtube/master/viewtubeplus.user.js
// @icon         http://s3.amazonaws.com/uso_ss/icon/87011/large.png
// @include      http://*.rai.tv/*
// @include      https://*.rai.tv/*
// @include      http://video.repubblica.it/*
// @include      https://video.repubblica.it/*
// @include      http://video.gelocal.it/*
// @include      https://video.gelocal.it/*
// @include      http://canalplus.fr/*
// @include      http://www.canalplus.fr/*
// @include      https://canalplus.fr/*
// @include      https://www.canalplus.fr/*
// @include      http://d8.tv/*
// @include      http://www.d8.tv/*
// @include      https://d8.tv/*
// @include      https://www.d8.tv/*
// @include      http://wat.tv/*
// @include      http://www.wat.tv/*
// @include      https://wat.tv/*
// @include      https://www.wat.tv/*
// @include      http://videos.tf1.fr/*
// @include      https://videos.tf1.fr/*
// @include      http://ina.fr/*
// @include      http://www.ina.fr/*
// @include      https://ina.fr/*
// @include      https://www.ina.fr/*
// @include      http://nicovideo.jp/*
// @include      http://www.nicovideo.jp/*
// @include      https://nicovideo.jp/*
// @include      https://www.nicovideo.jp/*
// @include      http://buni.tv/*
// @include      http://www.buni.tv/*
// @include      https://buni.tv/*
// @include      https://www.buni.tv/*
// @include      http://v.youku.com/*
// @include      https://v.youku.com/*
// @include      http://*.iqiyi.com/*
// @include      https://*.iqiyi.com/*
// @include      http://jpopsuki.tv/*
// @include      http://www.jpopsuki.tv/*
// @include      https://jpopsuki.tv/*
// @include      https://www.jpopsuki.tv/*
// @include      http://vplay.ro/*
// @include      http://www.vplay.ro/*
// @include      https://vplay.ro/*
// @include      https://www.vplay.ro/*
// @include      http://vhd.ro/*
// @include      http://www.vhd.ro/*
// @include      https://vhd.ro/*
// @include      https://www.vhd.ro/*
// @include      http://trilulilu.ro/*
// @include      http://www.trilulilu.ro/*
// @include      https://trilulilu.ro/*
// @include      https://www.trilulilu.ro/*
// @include      http://adevarul.ro/*
// @include      http://www.adevarul.ro/*
// @include      https://adevarul.ro/*
// @include      https://www.adevarul.ro/*
// @include      http://veehd.com/*
// @include      http://www.veehd.com/*
// @include      https://veehd.com/*
// @include      https://www.veehd.com/*
// @include      http://svtplay.se/*
// @include      http://www.svtplay.se/*
// @include      https://svtplay.se/*
// @include      https://www.svtplay.se/*
// @include      http://tv.nrk.no/*
// @include      https://tv.nrk.no/*
// @include      http://euronews.com/*
// @include      http://www.euronews.com/*
// @include      https://euronews.com/*
// @include      https://www.euronews.com/*
// @include      http://*.ifeng.com/*
// @include      https://*.ifeng.com/*
// @include      http://56.com/*
// @include      http://www.56.com/*
// @include      https://56.com/*
// @include      https://www.56.com/*
// @include      http://telemadrid.es/*
// @include      http://www.telemadrid.es/*
// @include      https://telemadrid.es/*
// @include      https://www.telemadrid.es/*
// @include      http://vk.com/*
// @include      http://www.vk.com/*
// @include      https://vk.com/*
// @include      https://www.vk.com/*
// @include      http://twitch.tv/*
// @include      http://www.twitch.tv/*
// @include      https://twitch.tv/*
// @include      https://www.twitch.tv/*
// @include      http://redmediatv.ru/*
// @include      http://www.redmediatv.ru/*
// @include      https://redmediatv.ru/*
// @include      https://www.redmediatv.ru/*
// @include      http://*.rt.com/*
// @include      https://*.rt.com/*
// @include      http://rutube.ru/*
// @include      http://www.rutube.ru/*
// @include      https://rutube.ru/*
// @include      https://www.rutube.ru/*
// @include      http://now.ru/*
// @include      http://www.now.ru/*
// @include      https://now.ru/*
// @include      https://www.now.ru/*
// @include      http://videomore.ru/*
// @include      https://www.videomore.ru/*
// @include      http://videomore.ru/*
// @include      https://www.videomore.ru/*
// @include      http://tvigle.ru/*
// @include      https://tvigle.ru/*
// @include      http://www.tvigle.ru/*
// @include      https://www.tvigle.ru/*
// @include      http://ivi.ru/*
// @include      https://ivi.ru/*
// @include      http://www.ivi.ru/*
// @include      https://www.ivi.ru/*
// @include      http://megogo.net/*
// @include      https://megogo.net/*
// @include      http://www.megogo.net/*
// @include      https://www.megogo.net/*
// @include      http://alkislarlayasiyorum.com/*
// @include      http://www.alkislarlayasiyorum.com/*
// @include      https://alkislarlayasiyorum.com/*
// @include      https://www.alkislarlayasiyorum.com/*
// @include      http://hurriyet.com.tr/*
// @include      http://www.hurriyet.com.tr/*
// @include      https://hurriyet.com.tr/*
// @include      https://www.hurriyet.com.tr/*
// @include      http://vevo.com/*
// @include      http://www.vevo.com/*
// @include      https://vevo.com/*
// @include      https://www.vevo.com/*
// @include      http://tu.tv/*
// @include      http://www.tu.tv/*
// @include      https://tu.tv/*
// @include      https://www.tu.tv/*
// @include      http://watch.nba.com/*
// @include      https://watch.nba.com/*
// @include      http://wimp.com/*
// @include      http://www.wimp.com/*
// @include      https://wimp.com/*
// @include      https://www.wimp.com/*
// @include      http://marktplaats.nl/*
// @include      http://www.marktplaats.nl/*
// @include      https://marktplaats.nl/*
// @include      https://www.marktplaats.nl/*
// @include      http://npo.nl/*
// @include      http://www.npo.nl/*
// @include      https://npo.nl/*
// @include      https://www.npo.nl/*
// @include      http://*.vara.nl/*
// @include      https://*.vara.nl/*
// @include      http://rtlxl.nl/*
// @include      http://www.rtlxl.nl/*
// @include      https://rtlxl.nl/*
// @include      https://www.rtlxl.nl/*
// @include      http://nickelodeon.nl/*
// @include      http://www.nickelodeon.nl/*
// @include      https://nickelodeon.nl/*
// @include      https://www.nickelodeon.nl/*
// @include      http://tvthek.orf.at/*
// @include      https://tvthek.orf.at/*
// @include      http://meteoweb.eu/*
// @include      http://www.meteoweb.eu/*
// @include      https://meteoweb.eu/*
// @include      https://www.meteoweb.eu/*
// @include      http://liveleak.com/*
// @include      http://www.liveleak.com/*
// @include      https://liveleak.com/*
// @include      https://www.liveleak.com/*
// @include      http://unblockyoutube.co.uk/*
// @include      http://www.unblockyoutube.co.uk/*
// @include      https://unblockyoutube.co.uk/*
// @include      https://www.unblockyoutube.co.uk/*
// @include      http://jeuxvideo.com/*
// @include      http://www.jeuxvideo.com/*
// @include      https://jeuxvideo.com/*
// @include      https://www.jeuxvideo.com/*
// @include      http://tv.ilfattoquotidiano.it/*
// @include      https://tv.ilfattoquotidiano.it/*
// @grant         GM_xmlhttpRequest
// @grant         GM_setValue
// @grant         GM_getValue
// ==/UserScript==


/*

  Copyright (C) 2010 - 2016 Sebastian Luncan
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26705
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte : Vulnérabilité dans Adobe Flash Player (06.04.16

Messagede Silure » 09 Avr 2016, 20:29

Merci Pierre.


J'ignorais cette possibilité de script. C'est désormais réparé.
J'ai ajouté les scripts Viewtube+ dans les paramètres de Viewtube. Flash Player est désinstallé.

Ça fonctionne parfaitement.
Image
Linux user #546171 Config <=
Avatar de l’utilisateur
Silure
Modérateur
 
Messages: 939
Inscription: 15 Juil 2005, 14:10
Localisation: Aquitaine

Re: Alerte : Vulnérabilité dans Adobe Flash Player (06.04.16

Messagede pierre » 09 Avr 2016, 21:28






Flash must die !





Clôture de l'alerte

Préférez les liens de téléchargement direct (version complètes et autonomes - standalone) plutôt que la mise à jour en ligne d'Adobe qui vient fouiller dans nos ordinateurs et tente des Sponsor. Hier et aujourd'hui, il n'y a qu'un Sponsor mais le 7 au soir il y en avait 2 !
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26705
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 5 invités