Une faiblesse des lecteurs Flash permet de prendre le contrôle d'un PC à la simple lecture d'une animation. Exploitable à distance via n'importe quel site web ou un email, cette attaque touche tous les navigateurs capables de lire les animations Flash, sur n'importe quelle plateforme. C'est à dire tout le monde.

Flash, de Macromedia, est partout : tous les navigateurs, ou presque, intègrent d'emblée un lecteur d'animations à ce format, et de nombreux sites web utilisent cette facilité. Hélas, tous ces lecteurs jusqu'à la version 6.0.65.0 sont vulnérables à une attaque à distance, comme vient de le démontrer la société eEye Digital Security.



Il suffit pour cela à un pirate de placer sur son site web une animation Flash dont le fichier a été spécialement modifié. A l'arrivée d'un navigateur, ce dernier utilisera automatiquement son propre lecteur Flash (un plug-in par défaut le plus souvent) afin de tenter de le lire. Si le fichier d'animation (.SWF) a été correctement modifié, cela provoquera un dépassement de mémoire tampon sur le système de l'internaute et y exécutera n'importe quel code, au choix du pirate.



Suite et source chez notre partenaire Futura Sciences