Connect with us

Technologie

Rechercher et corriger vos dépendances Adobe Flash, dit NCSC

Published

on


Les utilisateurs de PC grand public ne remarqueront probablement pas beaucoup de différence lorsque l’Adobe Flash Player, autrefois omniprésent, entrera enfin en fin de vie le 31 décembre 2020, mais de nombreuses organisations, grandes et petites, ont encore des dépendances Flash dont elles ne sont peut-être pas entièrement conscientes, et le moment est venu d’en arriver au sommet de la situation, indique le National Cyber Security Centre (NCSC) du Royaume-Uni.

Dans un nouveau conseil exhortant les organisations à corriger leurs dépendances Flash, le NCSC a déclaré que pour beaucoup, se sevrer de Flash peut être plus facile à dire qu’à faire. Parce qu’il était le seul moyen pratique d’héberger du contenu multimédia ou dynamique, un grand nombre d’applications, y compris de nombreux e-learning, la gestion de documents et les sites intranet de l’entreprise, comptent encore sur elle.

Entre autres, les chercheurs du NCSC ont trouvé Flash Player utilisé dans des versions de VMware vCenter et vSAN (avant le printemps 2018) pour certaines fonctions d’administration, et divers outils de sas, citrix et d’autres. Flash Player a également été nécessaire pour exécuter l’extensible Firmware Interface (EFI) Shell utilisé pour charger les mises à jour du firmware sur les anciens tableaux principaux Intel Server.

« Nos recherches suggèrent que la majorité des entreprises auront des dépendances flash », ont déclaré les chercheurs du NCSC. « Ans la plupart des cas, cependant, les fournisseurs des produits en question ont fait le travail acharné pour fournir des mises à jour pour leurs produits. Donc, c’est à nous d’obtenir ces mises à jour appliquées.

« Les garanties et les accords de service sur les services d’entreprise et le matériel sont habituellement fixés à trois ou cinq ans, ce qui donne à penser qu’il est inhabituel de remplacer ou de rafraîchir l’équipement, les applications et les services d’entreprise plus de deux fois par décennie.

« Ainsi, à moins qu’un effort conscient ne soit fait pour trouver une alternative, de nombreuses entreprises devront toujours utiliser Adobe Flash Player pour accéder aux services d’entreprise et remplir des fonctions administratives communes, bien après que le produit aura atteint la fin de vie. »

Flash a été une source croissante de maux de tête de cybersécurité depuis un certain temps maintenant, avec plus de 1.000 vulnérabilités reconnues, y compris certains découverts aussi récemment que Juin de cette année. Parfois, la mise à jour Flash et le processus d’installation lui-même a été ciblé par des acteurs malveillants, avec de fausses mises à jour Flash étant utilisé pour distribuer des chevaux de Troie malveillants.

À compter du 1er janvier 2021, toute nouvelle vulnérabilité devrait rester non corrigée indéfiniment, ce qui rend l’utilisation continue de Flash très risquée.

En outre, toute personne qui veut continuer à l’utiliser devra utiliser une ancienne version non corrigée de leur navigateur, et sont susceptibles d’avoir besoin de désactiver son mécanisme de mise à jour, qui est très déconseillé.

« Nous vous encourageons à travailler aux côtés de vos fournisseurs pour éliminer les dépendances de Flash », a déclaré le NCSC. « Tous les fournisseurs qui ne veulent pas ou ne peuvent pas le faire devraient eux-mêmes être considérés comme risqués. S’il vous plaît laissez-nous savoir si vous rencontrez des problèmes.

Ed Williams, directeur emea de l’unité de recherche sur les menaces SpiderLabs de Trustwave, a déclaré que le logiciel de fin de vie était un problème permanent pour la plupart des entreprises, et qu’il s’agissait souvent de la cause sous-jacente d’un compromis.

« Le risque posé par l’exécution d’un logiciel en fin de vie est important et que les organisations n’apprécient pas toujours en raison de l’ampleur du problème », a-t-il déclaré.

« C’est aussi un problème qui est très rarement résolu à un moment donné et qui est considéré comme un projet d’atténuation des risques en cours. La plupart des logiciels nécessitent périodiquement des correctifs et de la maintenance et, compte tenu de l’ampleur du problème, nous voyons souvent des lacunes exploitables dans même le régime de correction le plus robuste.

Williams a ajouté : « Être en mesure d’identifier les logiciels en fin de vie et d’atténuer le risque de manière appropriée n’est pas une tâche facile et une tâche qui nécessite des investissements importants et une cyber maturité. Je recommanderais une politique de correction continue, couplée à une gestion régulière des menaces et des vulnérabilités pour identifier les lacunes et les angles morts.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance