Le 7 juin, Adobe a corrigé une vulnérabilité critique dans Flash Player (
actualités ,
publication de l'entreprise ). La vulnérabilité CVE-2018-5002 a été découverte immédiatement par plusieurs équipes de recherche en Chine - nous parlons de l'exécution à distance de code arbitraire à la suite d'une erreur de dépassement de tampon. Il s'agit d'une vulnérabilité zero-day: au moment de sa découverte, elle était déjà utilisée dans des attaques ciblées au Moyen-Orient. Ce problème assez grave est perçu comme une actualité du simple fait du nom du produit concerné: eh bien, qui peut être surpris par RCE en un éclair?
Cette année seulement, il s'agit de la deuxième vulnérabilité critique zéro jour; la première a été
fermée d' urgence en février. Adobe Flash en général est devenu un exemple exemplaire de logiciels non sécurisés, il figure constamment parmi les applications les plus fréquemment attaquées et ne laisse pas cette note pendant des années. Il est encore courant parmi les utilisateurs, malgré de nombreuses années de tentatives pour le remplacer par des technologies objectivement plus efficaces. Quelle que soit la technologie, Flash est devenu une partie intégrante de l'histoire d'Internet. En utilisant quelques liens et un seul graphique, essayons de regarder Flash d'un point de vue de la sécurité et pas seulement.
D'un passé glorieux à un triste présentL'histoire ancienne de l'ancêtre d'Adobe Flash, le logiciel de dessin SmartSketch, est un exemple utile sur la façon de parier sur le développement de technologies prometteuses face au manque d'informations. Imaginez-vous en 1992-1993. Il n'y a toujours pas de web en tant que tel, Internet est un jouet pour les scientifiques et un club fermé pour les amateurs de communication par mail et
actualité . En même temps, toutes les technologies prometteuses sont décrites: il existe des normes pour les PC multimédias, pour les appareils portables, il y a les premiers concepts de tablettes. Il n'est pas clair que cela se développera et rapportera de l'argent, et surtout, dans quel ordre toutes ces technologies vont tirer. Les développeurs de SmartSketch ont d'abord fait le mauvais pari sur l'un des premiers systèmes d'exploitation pour ordinateurs portables avec écran tactile (
PenPoint ).
Le système n'était pas à la hauteur de la version commerciale, et SmartSketch devait être rapidement porté sur Mac OS et Windows, où il y avait beaucoup de programmes de dessin. Et la deuxième décision stratégique - réorienter le projet vers la création d'animations, voire assurer la possibilité de publier sur le web - s'est avérée juste. En 1996, un produit renommé FutureSplash Animator est sorti. À la même époque, Microsoft s'est rendu compte que l'Internet était l'avenir, a commencé à augmenter les projets pertinents avec des budgets pour le marketing et le développement et à créer quelque chose qui ne deviendrait vraiment utilisable que dans 10 à 15 ans - toutes sortes de télévision sur le Web et d'autres choses interactives. Interactif - cela inclut l'animation, et ici les créateurs de la carte logicielle et inondés.
Dans le même 1996, le projet a été acquis par Macromedia (et renommé Flash). Au début du nouveau millénaire, le plug-in gratuit côté client est devenu l'extension de navigateur la plus courante. En 2005, Macromedia a été vendu à Adobe, et même alors, ce n'était pas seulement un logiciel pour créer des objets Web complexes, mais plutôt une plate-forme de développement logiciel, dans laquelle Flash Player est devenu juste un mode de livraison. Quelque part très loin dans le temps, on pouvait entrevoir un avenir radieux dans lequel les fabricants d'ordinateurs, les développeurs de systèmes d'exploitation et même les navigateurs jouent le rôle d'opérateurs de télévision par câble chargés de poser les câbles. De vraies grand-mères gagnent en même temps du contenu créé et diffusé via la plateforme Flash, et il est entièrement contrôlé par Adobe. Super, non?
Peut-être que tout serait ainsi s'il n'y avait pas le développement d'appareils mobiles dans lesquels il y aurait un scénario d'interaction différent (un stylo et des doigts au lieu d'une souris) et un matériel beaucoup plus faible que les PC conventionnels. Flash était présent, disons, dans Windows Mobile, mais l'expérience était moyenne. En 2007, Apple a lancé le premier iPhone, un smartphone dans lequel la visualisation du Web complet est devenue plus ou moins pratique. L'absence de Flash a souvent été décrite comme l'un des graves défauts de l'appareil: sans lui, à la fin du zéro, il était impossible de diffuser de la vidéo et de l'audio à partir de nombreuses ressources, d'utiliser certaines applications commerciales et, bien sûr, vous ne pouviez pas jouer à une
ferme amusante . En 2010, immédiatement après la sortie de l'iPad, qui
ne disposait pas non plus de Flash , Steve Jobs a écrit
une lettre ouverte expliquant pourquoi Flash n'apparaîtra jamais sur les appareils mobiles d'Apple.
Je vais énumérer brièvement les principaux arguments de Jobs contre Flash. Norme fermée (Jobs indique qu'Apple possède également beaucoup de
propriétés propriétaires , mais les normes Web doivent être ouvertes). Le moteur WebKit développé par Apple et utilisé partout est donné à titre de contre-exemple (les smartphones Nokia sont mentionnés dans la lettre, et alors c'était toujours d'actualité!).
Ressources et batterie: un exemple est l'implémentation inefficace du codec H.264 dans Flash, qui ne permet pas d'utiliser pleinement le décodage vidéo matériel. D'où l'augmentation de la charge sur le processeur et une demi-heure d'autonomie de la batterie. Affûtage sur le contrôle de la souris et incapacité à travailler normalement avec les doigts. Le manque de motivation d'Adobe pour optimiser les applications Flash pour iPhone et iPad. Enfin, la sécurité et la fiabilité ont été mentionnées («la raison de la chute des ordinateurs Macintosh numéro un»).
Oh, ce qui a commencé ici . Le directeur d'Adobe, bien sûr, a
répondu : les "coquelicots" devraient tomber parce que l'axe est une courbe. À propos de la consommation de la batterie - c'est un mensonge. Et, bien sûr, «nous sommes pour le multi-plateforme». Il semble que le rêve que le programme soit écrit une fois puis fonctionne sur n'importe quoi - même sur un PC, même sur une cafetière, n'a jamais été réalisé. Les problèmes de codage efficace sont en quelque sorte résolus, simplement sans Adobe et la plate-forme Flash.
C'était un outil relativement simple et pratique pendant une période relativement longue, avec un mécanisme de livraison fonctionnel pour un large public. Et puis il a cessé d'être un tel outil: le 25 juillet 2017, Adobe
annonce la suppression progressive du développement et du support Flash. La raison en est l'application universelle de ces mêmes normes Web ouvertes. Depuis lors, l'histoire de Flash en tant que plate-forme zombie AKA mines à bombe à retardement sur les ordinateurs de millions d'utilisateurs a commencé.
À quel point est-ce mauvais?La question doit être divisée en deux parties: à quel point tout est personnellement mauvais avec vous et à quel point tout est mauvais avec Adobe Flash, en principe, d'un point de vue de la sécurité? La première question est facile à répondre par vous-même: accédez à la
page du site Adobe avec le widget pour vérifier la version de Flash Player. Dans mon cas, le navigateur Chrome a d'abord demandé l'autorisation d'exécuter Flash, puis a montré que j'avais la dernière version, avec un zirodei patché du 7 juin. Tout semble aller pour le mieux: le fabricant du navigateur (Chrome) prend automatiquement en charge la pertinence du plugin Flash. D'un autre côté, il est tout à fait possible de désactiver cette fonctionnalité: pour un utilisateur régulier, une offre de lancement de Flash lors du chargement d'une page ne posera pas de questions particulières. Et il existe de nombreuses situations où même la dernière version du plugin est extrêmement vulnérable.
Quelle est la gravité de Flash Player en général? La base de données de vulnérabilité CVE fournit une vue d'ensemble. Pour Flash Player, au moment de la publication, il y avait des informations sur 1047 vulnérabilités depuis 2005. Le plus grand nombre de vulnérabilités a été ajouté à la base de données en 2015 et 2016, tout comme Adobe a
annoncé une augmentation radicale de la sécurité de la plate-forme. Le programme Adobe Reader, qui est également souvent utilisé pour les cyberattaques, possède 368 vulnérabilités enregistrées dans la même base de données CVE - presque trois fois moins. 86% des vulnérabilités de Flash Player dans la base de données CVE sont classées en niveaux de sécurité 9-10, c'est-à-dire qu'il s'agit de vulnérabilités critiques. 79% sont directement signalés comme provoquant l'exécution de code arbitraire.
Prix des logiciels dangereuxJe ne peux pas dire que je suis d'accord avec la lettre de Steve Jobs à propos de Flash. N'oubliez pas qu'il a été écrit en 2010, alors qu'il était difficile de regarder une vidéo sur YouTube en HTML5 sans danser avec un tambourin (Flash n'y était généralement
éteint qu'en 2015). Losing Flash est une histoire commerciale d'une technologie qui a commencé à perdre du terrain bien avant de devenir le logiciel le plus fréquemment attaqué.
Et imaginez-vous à la place d'Adobe: en 13 ans, la technologie a rapporté beaucoup d'argent à l'entreprise. Pour un certain nombre de raisons, la technologie est temps de se reposer, mais pendant encore trois ans, elle générera des revenus - en raison de la volonté de l'industrie d'assurer la compatibilité. Le développement est arrêté, l'investissement est nul, il y a du revenu, de la beauté! Mais non, certaines solutions techniques (adoptées depuis longtemps) ou simplement une surveillance de la sécurité m'obligent à dépenser beaucoup d'argent et de ressources pour maintenir sous une forme minimalement décente un produit qui ne le mérite plus. Mais c'est nécessaire: sinon atteinte à la réputation, et même aux frais de justice.
Il serait intéressant de lire les souvenirs de quelqu'un avec analyse: comment est-ce arrivé? Il est également conseillé avec des conseils sur la façon d'éviter cela à l'avenir. Jusqu'à présent, nous ne pouvons que conclure qu'investir dans la sécurité est nécessaire presque avant le début du développement du produit. Vous pouvez, bien sûr, penser que d'autres personnes ratisseront déjà les montants qui ont été initialement mis en place, après réception des bénéfices et des bonus. Mais ce n'est pas une approche sérieuse. Comment aborder de manière responsable le développement de logiciels de formation de systèmes à notre époque? Découvrez-le dans 10-15 ans?
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.