Si vous avez besoin d’une autre raison de ne pas utiliser plus Flash, un nouveau rapport de sécurité par les Futurs constatés, peut vous convaincre de considérer ce à tout le moins.
La société a analysé 141 exploits kits qui ont été disponible entre le 16 novembre 2015 et le 15 novembre 2016.
Les plats à emporter principal de l’étude est que Adobe Flash vulnérabilités composé de six des dix graphique spots.
Flash n’a pas été le seul logiciel que des kits d’exploit ciblées dans la dernière année. En fait, une vulnérabilité dans Microsoft Internet Explorer est en tête du tableau, suivi par trois vulnérabilités Flash et puis un Microsoft Silverlight vulnérabilité.
Un Windows vulnérabilité vient en à sept, et de l’autre une vulnérabilité d’Internet Explorer à neuf. Les places restantes sont toutes remplies par des vulnérabilités Flash
via https://www.recordedfuture.com/top-vulnerabilities-2016/
Flash fait mieux cette année que l’an dernier. L’année dernière, Flash surmonté les huit premières places du top dix des vulnérabilités liste utilisée par les kits d’exploit, avec Internet Explorer et Silverlight de prendre les deux derniers spots.
Aussi loin que la méthodologie est préoccupé de ce que recorded Future utilisé pour générer le rapport: il n’a pas désosser des kits d’exploit ou de l’utilisation d’autres formes d’analyse directe. Au lieu de cela, il a utilisé des méta-informations disponibles sur l’Internet pour calculer l’information.
Enregistré Avenir n’a pas de désosser tout logiciel malveillant mentionnés dans la présente analyse et plutôt effectué une méta-analyse des informations disponibles sur le web. Exploits pour des dizaines d’autres vulnérabilités sont actuellement employés par EKs et le présent rapport vise à mettre en évidence le top des objectifs de populaire kits d’exploit.
Cela signifie que les vulnérabilités ne sont pas nécessairement classés par ordre de gravité, ou de l’impact sur les systèmes de l’utilisateur. Au lieu de cela, les vulnérabilités sont classés par référence à eux sur la sécurité des sites, forums et autres.
Ceci peut être facilement vu par la recherche, à la vulnérabilité de l’adoption par exploit kit graphique que la société a créé.
via https://www.recordedfuture.com/top-vulnerabilities-2016/
Alors que les cinq premiers vulnérabilités répertoriées ont été toutes exploitées par trois ou quatre kits d’exploit, c’était le Flash de la vulnérabilité à la dixième place qui a été exploitée par la plupart des (sept fois).
Le rapport se termine par des recommandations. Ces habituelles: patch votre système et les logiciels, logiciel supprimer si il n’est pas nécessaire pour les processus opérationnels de base, cliquez sur activer pour jouer, utilisez le script bloquants, créer de dos fréquents ups, et d’utiliser Chrome, si possible.
Le top 10 des vulnérabilités
CVE-2016-0189 — Microsoft JScript et VBScript 5.8 5.7 et 5.8 les moteurs utilisés dans Internet Explorer 9 à 11 et d’autres produits, permettent à des attaquants distants d’exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire) via un site web malveillant, aka “le Moteur de Script Vulnérabilité de Corruption de Mémoire
CVE-2016-1019 — Adobe Flash Player 21.0.0.197 et antérieurs permet à des attaquants distants de provoquer un déni de service (plantage de l’application) ou éventuellement d’exécuter du code arbitraire via des vecteurs non spécifiés, exploité à l’état sauvage en avril 2016.
CVE-2016-4117 — Adobe Flash Player 21.0.0.226 et antérieurs permet à des attaquants distants d’exécuter du code arbitraire via des vecteurs non spécifiés, comme exploités dans la nature en Mai 2016.
CVE-2015-8651 — débordement d’Entier dans Adobe Flash Player avant de 18.0.0.324 et 19.x et 20.x avant 20.0.0.267 sur Windows et OS X et avant 11.2.202.559 sur Linux, Adobe AIR avant 20.0.0.233, Adobe AIR SDK avant 20.0.0.233, et Adobe AIR SDK & Compilateur avant 20.0.0.233 permet à des attaquants d’exécuter du code arbitraire via des vecteurs non spécifiés.
CVE-2016-0034 — Microsoft Silverlight 5 avant 5.1.41212.0 gaspille décalages négatifs durant le décodage, ce qui permet à des attaquants distants d’exécuter du code arbitraire ou de provoquer un déni de service (objet-d’en-tête de la corruption) via un site web malveillant.
CVE-2016-1010 — débordement d’Entier dans Adobe Flash Player avant de 18.0.0.333 et 19.x 21.x avant 21.0.0.182 sur Windows et OS X et avant 11.2.202.577 sur Linux, Adobe AIR avant 21.0.0.176, Adobe AIR SDK avant 21.0.0.176, et Adobe AIR SDK & Compilateur avant 21.0.0.176 permet à des attaquants d’exécuter du code arbitraire via des vecteurs non spécifiés
CVE-2016-4113 –non spécifié vulnérabilité dans Adobe Flash Player 21.0.0.213 et, auparavant, utilisé dans Adobe Flash bibliothèques dans Microsoft Internet Explorer 10 et 11 et de Microsoft à Bord, on ne sait pas l’impact et les vecteurs d’attaque
CVE-2015-8446 — dépassement de Tas dans Adobe Flash Player avant de 18.0.0.268 et 19.x et 20.x avant 20.0.0.228 sur Windows et OS X et avant 11.2.202.554 sur Linux, Adobe AIR avant 20.0.0.204, Adobe AIR SDK avant 20.0.0.204, et Adobe AIR SDK & Compilateur avant 20.0.0.204 permet à des attaquants d’exécuter du code arbitraire par le biais d’un fichier MP3 avec COMM balises qui sont de mauvaise manipulation lors de l’allocation de la mémoire
CVE-2016-3298 — Microsoft Internet Explorer 9 à 11 et de l’Internet Messaging API de Windows Vista SP2, Windows Server 2008 SP2 et R2 SP1, Windows 7 SP1 permettre à des attaquants distants afin de déterminer l’existence de fichiers arbitraires via un site web malveillant.
CVE-2015-7645 — Adobe Flash Player 18.x 18.0.0.252 et 19.x 19.0.0.207 sur Windows et OS X et 11.x 11.2.202.535 sur Linux permet à des attaquants distants d’exécuter du code arbitraire via un conçu fichier SWF, exploité à l’état sauvage en octobre 2015.