CERT-XMCO : Adobe met en place une nouvelle fonction de sécurité au sein de son Flash Player
février 2012 par CERT-XMCO
* Flash Player sandboxing is coming to Firefox
– Date : 07 Fevrier 2012
– Plateforme : Windows
– Gravité : Moyenne
– Description :
Adobe avait annoncé à la fin de l’année 2010 la mise en place d’un bac à sable au sein de son Flash Player, lors de l’intégration d’une fonction similaire permettant de protéger le Flash Player en l’intégrant nativement à la sandbox de Google Chrome (voir CXA-2010-1674). Un peu plus d’un an plus tard, l’éditeur annonce la publication, pour Firefox, d’une version de test de l’un de ses logiciels phares disposant de cette même fonction.
En effet, avec l’aide des développeurs de Mozilla, Adobe a mis en place une architecture sécurisée pour le plug-in Flash, similaire à ce que l’éditeur avait déjà fait pour Adobe Reader X et Acrobat X. En l’occurrence, une interface, appelée broker et jouant le rôle de proxy, a été mise en place afin de s’interfacer entre le système d’exploitation et le moteur du plug-in afin de filtrer les opérations autorisées ou non, et les données manipulées si nécessaire.
Selon Adobe, ce type de protection se révèle particulièrement efficace, puisque dans le cas d’Adobe Reader X et d’Acrobat X, aucune faille de sécurité n’aurait pu être exploitée depuis la mise en place du bac à sable sur ces versions, contrairement aux versions antérieures de ces logiciels.
Cette nouvelle fonction de sécurité serait déjà disponible pour les versions de Firefox à partir de la version 4 du navigateur pour Windows Vista et Windows 7.
– Référence :
https://blogs.adobe.com/asset/2012/02/flash-player-sandboxing-is-coming-to-firefox.html
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1674
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0189