Edition du 17/04/2008 - par Marc Olanié

Si la première alerte sur le sujet, publiée par ISS, peut paraitre assez obscure et difficilement compréhensible, les commentaires qu'elle provoqua, tant de la part de Thomas Ptacek de Matasano que de Kostya Kortchinsky eurent tôt fait d'attirer l'attention de tous. L'exploit flash décrit par Mark Dowd (X-Force d'ISS/IBM) au fil d'un document de 25 pages, est techniquement réservé aux initiés. L'explication -très humoristique- donnée par Ptaceck sur le blog de Matasano a l'avantage de convenir au commun des mortels. Un billet que ce même Ptacek complète avec un avis circonstancié sur la dangerosité intrinsèque de l'exploit en question. Utilisé avec une combinaison habile genre attaque DNS (telle que celle que vient de colmater Microsoft ?) ou une bonne vulnérabilité appuyée par un XSS, cet exploit Flash a tout d'une calamité. Il appartient même plus ou moins à une nouvelle famille de bugs. Il n'est pas nécessaire de céder à la panique, tempère toutefois l'auteur. Certains facteurs d'atténuation peuvent jouer leur rôle, notamment le DEP de Vista. Trois très longs articles dont l'appréhension risque de prendre une bonne partie du week-end.