Chers amis imaginaires,
Adobe a récemment annoncé la présence d'une vulnérabilité de son greffon Flash, effective sur les systèmes Windows, Mac et UNIX [1]. Toutes les versions d'Adobe Flash Player sont impactées jusqu'à la 10.0.45.2 inclue. Cette vulnérabilité est évaluée par Adobe comme critique car elle permettrai à un contenu malveillant de faire crasher le greffon, et potentiellement d'exécuter un code arbitraire sur la machine victime. Cette vulnérabilité aurait déjà été exploitée à grande échelle durant le mois de juin 2010 [2]. J'ai moi-même remarqué quelques crashs, alors qu'auparavant c'était plutôt stable (lent, mais stable).
La version 10.1.53.64 corrige cette vulnérabilité. Pas de chance, Adobe ne propose cette version sur les systèmes UNIX que pour les architectures i686 ; la version x86_64 est mise en attente [3].
Donc si vous utilisez le greffon Flash propriétaire et que vous êtes sous x86_64, il vaudrait mieux utiliser un équivalent libre (Gnash, Swfdec), ou désactiver le Flash (extension Flashblock pour Firefox et Chromium).
À noter que si c'est le cas pour Chromium, Firefox n'exécute pas encore les greffons dans des processus isolés (sandbox), qui assurent un certain cloisonnement des risques. Cette fonctionnalité est prévue pour Firefox 3.6.4 avec Lorentz, qui est prévue pour la fin du mois (si elle n'est pas encore reportée). Donc il est vivement conseillé de bannir le greffon propriétaire si vous utilisez Firefox !
Au delà de l'aspect sécurité, on trouve ici une preuve flagrante de l'absurdité des logiciels propriétaires, qui soumettent leurs utilisateurs à leurs règles. Ne pouvant pas intervenir nous-mêmes, il ne nous reste plus qu'à prier, comme dirait RMS.
[1] Security Advisory for Flash Player, Adobe Reader and Acrobat
[2] CVE-2010-1297
[3] Adobe Labs : Flash Player 10 for 64-bit Linux
Journal Vulnérabilité du greffon Flash : 64 bits piégés
17
juin
2010
# Mon chargeur est savant
Posté par Zarmakuizz (site web personnel) . Évalué à -10.
Ma vie en exclusivité juste pour dire que mon chargeur est tombé en panne au bon moment :)
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: Mon chargeur est savant
Posté par Maclag . Évalué à 8.
(Et pourquoi tu as mis flashblock sur le portable de ta soeur et pas le tiens?!?)
[^] # Re: Mon chargeur est savant
Posté par Zarmakuizz (site web personnel) . Évalué à 2.
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: Mon chargeur est savant
Posté par zerkman (site web personnel) . Évalué à 10.
[^] # Re: Mon chargeur est savant
Posté par grid . Évalué à 10.
# Capello time
Posté par Obsidian . Évalué à 10.
inclue → incluse.
Contrairement à « exclue » qui, elle, s'écrit bien de cette manière. C'est beau, la langue française ! :-)
[^] # Re: Capello time
Posté par téthis . Évalué à 10.
Contrairement à « exclue » qui, lui, s'écrit bien de cette manière ; c'est un mot.
Ouais, c'est très beau. :)
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Capello time
Posté par Obsidian . Évalué à 1.
[^] # Re: Capello time
Posté par Badeu . Évalué à 6.
[^] # Re: Capello time
Posté par Obsidian . Évalué à 2.
[^] # Re: Capello time
Posté par __o . Évalué à 1.
# Flashblock sur Chromium
Posté par maxime1986 . Évalué à 5.
Je ne pense donc pas que l'extension Flashblock protège de cette faille sur Chromium.
[^] # Re: Flashblock sur Chromium → Privoxy
Posté par JGO . Évalué à 4.
C'est un proxy sans cache destiné à traiter les fichiers HTML avant de les passer au navigateur. On passe les regexp qu'on veut, mais il y a des filtres prédéfinis comme « enlever flash ».
/etc/privoxy/user.action
#Par défaut, adieu les pubs sur tous les sites
{ +filter{shockwave-flash} }
/
# Je veux quand même voir les vidéos de certains sites
{ -filter{shockwave-flash} }
.youtube.com/
.dailymotion.com/
# Isolations des processus ?
Posté par geb . Évalué à 9.
Alors, là je veux bien que tu m'expliques ce que cela apporte dans ce cas bien précis.
Ok, flash, ne peut pas faire crasher chromium directement (ça reste à prouver), et peut faire crasher firefox. M'enfin, dans tous les cas, il tourne dans un process lancé en user, ayant accès a tout ton $HOME etc.
A quand des jails/vserver pour flash ? :)
[^] # Re: Isolations des processus ?
Posté par Anonyme . Évalué à 10.
J'en ai une de Jail moi, ça s'appelle : « Y a du flash ? J'y vais pas ». C'est sous licence libre, profites !
[^] # Re: Isolations des processus ?
Posté par 2PetitsVerres . Évalué à 6.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Isolations des processus ?
Posté par Damien Thébault . Évalué à 2.
[^] # Re: Isolations des processus ?
Posté par Tobu . Évalué à 2.
[^] # Re: Isolations des processus ?
Posté par zebra3 . Évalué à 5.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
# Pas absurde
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 1.
C'est pas absurde, c'est comme ça que ça marche.
Je ne vois pas du tout l'intérêt de ta phrase, d'autant plus que ça montre que tout le monde ne met pas autant de mauvaise volonté que ça avant de corriger une faille découverte.
Quand à ton argument « pas pour le 64 bits, » alors que le patch est tout frais ailleurs… en quoi cela change-t-il des nombreux paquets périmés depuis un an ou plus qu'on trouve dans autant de distributions linux ?
Je suis moi-même mainteneur de ports pour FreeBSD, et j'ai pas toujours le temps de tout mettre à jour aussitôt : un absurdité du LL ?
D'ailleurs, le LL aussi, ça pue grave : ça m'oblige à respecter la licence et à suivre ses règles !
[^] # Re: Pas absurde
Posté par B16F4RV4RD1N . Évalué à 7.
en quoi cela change-t-il des nombreux paquets périmés depuis un an ou plus qu'on trouve dans autant de distributions linux ?
je connais peu de projet aussi utilisé que Flash qui n'ont pas de mise à jour de sécurité alors qu'il y a des failles critiques dedans, que cela soit java, firefox, openoffice... on ne parle pas de la non mise à jour d'un petit jeu sur sourceforge quand même.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Pas absurde
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Oui, c'est le principe.
Mais comme on m'a répondu à peu près dans un autre fil « si y'avait mieux (que Flash), ça serait utilisé à la place. »
Ça fait partie du jeu. T'avais une licence avec, tu l'as acceptée.
Pour ma part, j'ai pas accepté la licence, j'ai pas flash sur ma machine, je m'en cogne.
Puis je suis sûr qu'on peut utiliser le plugin 32 bits sur une machine 64.
>> on ne parle pas de la non mise à jour d'un petit jeu sur sourceforge quand même.
Les fondements du libre se fichent de la taille du projet.
Pas de « deux poids deux mesures », ou alors j'ai du rater un truc.
[^] # Re: Pas absurde
Posté par Yth (Mastodon) . Évalué à 7.
Et si j'ai FreeBSD installé et que je trouve que tu es trop lent à faire les mises à jour, rien ne m'empêche de les faire moi-même.
Pour flash linux 64bits, tu peux toujours regarder très fort le site d'adobe, mais ça risque de ne rien changer...
Pour finir, les licences et règles des logiciels libres sont nettement plus intelligentes, efficaces et utiles que celles des logiciels propriétaires, on le voit tout les jours, et encore aujourd'hui ici.
Donc on peut discuter sur le fait que ces licences soient imparfaites et contraignantes, elles sont tout de même très en avances sur les licences propriétaires, on peut donc gloser en toute sérénité.
Yth.
[^] # Re: Pas absurde
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 4.
>> …
>> Pour flash linux 64bits, tu peux toujours regarder très fort le site d'adobe, mais ça risque de ne rien changer...
Ce qui est absurde, c'est que tu te plaignes qu'on ne fasse pas ce qu'on ne t'as jamais promis. Ce qui est absurde, c'est que tu te fouettes, et qu'en suite tu ailles te plaindre que ça fait mal.
>> Pour finir, les licences et règles des logiciels libres sont nettement plus intelligentes, efficaces et utiles que celles des logiciels propriétaires
Non. Elles sont différentes, et n'ont pas les mêmes objectifs.
Ce qu'on constate, c'est que leur usage n'est pas forcément justifié ou judicieux. De même qu'il y a aussi plein de logiciels libres qui ont, selon moi, une licence qui n'est pas la bonne et qui restreint leur propagation, ou l'usage de technologies de meilleure qualité.
[^] # Re: Pas absurde
Posté par Yth (Mastodon) . Évalué à 5.
Je ne me plains de rien.
Je suis encore, honte à moi, en 32 bits, je me fous royalement de flash et si je n'avais pas besoin de l'avoir installé pour le boulot (je gère des bouts du site,e t ya des bouts en flash, mais j'y touche pas, par contre je dois vérifier que ça fonctionne bien), je ne l'aurais simplement pas, et flashblock est très actif chez moi, avec un seul site en liste blanche : celui de mon boulot.
Pour ce qui est des licences, un outil propriétaire est quasiment par définition un cul-de-sac : il doit se suffire à lui-même, et être une fin en soi.
Des centaines de logiciels libres sont utilisés chaque jour comme éléments d'un tout, un tout nettement plus cohérent, et pratique : je peux utiliser des tas de petits outils codés par d'autres pour d'autres choses, pour mes propres besoins.
Je ne pourrais jamais exploiter des fonctionnalités par exemple de windows media player pour faire mes trucs à moi : c'est un gros bloc fermé. Alors que je peux le faire avec mplayer.
J'ai clairement un avis de développeur, et d'utilisateur sachant ce qu'il fait, et il m'est impossible de composer avec des logiciels propriétaires. Même utiliser MacOSX est une bien trop grande restriction. Je veux dire, en plus du fait que je trouve son ergonomie dépassée et mal pensée, et son manque de possibilités d'un contraignant frisant à la wondowserie...
Et ce n'est pas l'avenir. C'est une perte de temps d'apprendre à utiliser des logiciels propriétaires : ils n'ont pas d'avenir, comment pourrais-je, intellectuellement, perdre mon temps, et ma vie, à les utiliser ? J'ai autre chose à faire de moi ! Le temps gagné je le passe à planter mes carottes, mes fraises, mon persil, ma menthe et ma ciboulette, mes courgettes, et mes tomates, et j'en suis bien plus heureux !
Yth.
[^] # Re: Pas absurde
Posté par pasBill pasGates . Évalué à 5.
http://msdn.microsoft.com/en-us/library/dd758070(VS.85).aspx
De rien
[^] # Re: Pas absurde
Posté par Zarmakuizz (site web personnel) . Évalué à 2.
Mais dis-moi, c'est chiant d'obtenir le sdk de wmp12 !
Patapay, j'ai d'abord cherché "windows media player 12 sdk" sur Google et j'ai eu tout sauf le sdk souhaité, uniquement les versions 9 (sur le site de Microsoft) et 10 (même pas sur ledit site), si on oublie les liens commerciaux vérolés.
J'ai ensuite cherché "windows media player sdk linux" sans rien trouver. ------->[]
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: Pas absurde
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Pas absurde
Posté par boq . Évalué à -1.
Bon courage!
[^] # Re: Pas absurde
Posté par pasBill pasGates . Évalué à 5.
[^] # Re: Pas absurde
Posté par gnumdk (site web personnel) . Évalué à 2.
Non, comparer le sdk et wmp et mplayer, fallait oser :D
[^] # Re: Pas absurde
Posté par boq . Évalué à 3.
:o)
[^] # Re: Pas absurde
Posté par Zenitram (site web personnel) . Évalué à 2.
Le format Flash est ouvert, tu es libre de faire ton implémentation pour éviter le problème.
Après, si le modèle de développement d'une autre boite est le proprio, c'est leur choix.
Tout comme toi tu as le choix lorsque le protocole est ouvert (ce qui est le cas pour Flash).
Faut arrêter de râler : si vous n'êtes pas content, vraiment, pourquoi n'y a-t-il aucune implémentation libre qui tienne la route, développée sérieusement plutôt que par quelque développeurs qui y passent un peu de hobby pour le fun? Un Flash libre n'a pas l'air d'être une priorité, le plugin proprio a l'air de convenir à pas mal de monde.
Plutôt que de râler, faites votre plugin Flash libre!
[^] # Re: Pas absurde
Posté par Psychofox (Mastodon) . Évalué à 2.
Je pense que s'il y'a si peu d'envie, pour plusieurs raisons :
1. c'est justement parce qu'il n'y a rien de fun ou sexy de devoir se coltiner l'implémentation libre d'un format dont l'évolution n'est dictée que par le fournisseur de son implémentation proprio à grande échelle et dont tu n'as aucun contrôle. Au moins quand il s'agit d'un format géré par un consortium, il y'a une certaine inertie qui t'aide à suivre même si tu n'as aucune influence dans son évolution.
2. T'aurais beau faire un player super bien qui déchire sa mort qui tue, t'as toujours des milliers de sites qui pour une raisons débiles te refuseront l'accès parce qu'ils ne détectent pas la version x du player flash de Adobe. Déjà que parfois c'est encore le cas pour des sites flash qui jettent les navigateurs équipés d'un plugin flash sous linux. Donc à quoi bon s'emmerder si de toute façon la porte t'es fermée d'office.
En gros tout ce que flash mérite, c'est qu'on l'ignore.
[^] # Re: Pas absurde
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
1. Si c'est chiant à coder, alors l'absence de LL est justifiée.
2. En plus d'être chiant à coder, même si c'est bien c'est perdu d'avance, donc l'absence de LL est justifiée.
3. La politique de l'autruche, rien de tel pour justifier la suprémacie du LL ?!
[^] # Re: Pas absurde
Posté par Psychofox (Mastodon) . Évalué à 1.
2. Le fait que c'est bien ou pas n'est pas un avis partagé par tous. Personnellement, en dehors des sites de vidéos, je vois peu d'utilisation intéressante du flash. D'ailleurs la principale utilisation du flash, c'est pour la pub. On s'en passe bien.
3. Il n'y a pas de politique de l'autruche, il existe des projets qui implémente flash (gnash, swfdec...). Je ne vois pas pourquoi chacun devrait être forcé à s'y intéressé.
[^] # Re: Pas absurde
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
2/ Tu dis que *même si* c'était bien, ce qui regroupe donc l'avis de tous, ça ne vaudrait pas là peine, ce qui me parait bien défaitiste.
3/ La politique de l'autruche que j'observe avec Flash principalement (plus générale que ton message en particulier, hein) c'est :
a) se persuader que le LP Machin est mal
b) Ne pas coder une version LL Machin car c'est mal
c) se plaindre que Machin ne marche pas chez soi, pour se se persuader que le LP est mal.
d) dire que le LL c'est tellement mieux, car ça marcherait.
e) continuer à utiliser Machin car on a aucune alternative (j'ai cru comprendre que le support de gnash, toussa, même si pas nul, n'est pas encore vraiment ça).
[^] # Re: Pas absurde
Posté par Psychofox (Mastodon) . Évalué à 1.
Donc non je ne justifie rien, j'énonce juste que quand tu as envie de coder quelque chose, cela nécessite une certaine motivation et qu'il y'a des projets qui en valent bien plus la peine aux yeux des developpeurs que flash et que ça explique en partie le fait qu'il n'y ait pas une implémentation libre qui supporte toutes les specs du format...
Et ce ne sont pas forcément les mêmes personnes qui énoncent les différents points que tu mentionne dans ton 3ème élément.
[^] # Re: Pas absurde
Posté par gnumdk (site web personnel) . Évalué à 2.
[^] # Re: Pas absurde
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
De plus, s'ils sont prêts à dire à leurs clients « passez vous de nos services en attendant, » c'est qu'ils ont dû y réfléchir à deux fois.
[^] # Re: Pas absurde
Posté par dest . Évalué à 2.
C'est très grave selon moi cette façon d'agir.
[^] # Re: Pas absurde
Posté par gnumdk (site web personnel) . Évalué à 4.
Elle n'aura pas les optimisations propres au 64 bits (j'imagine que c'est pour cela qu'il y'a deux branches), mais ca me semble être le minimum...
# Jobs tout puissant
Posté par KamelPanic . Évalué à 5.
[^] # Re: Jobs tout puissant
Posté par windu.2b . Évalué à 10.
Ouais !!! Mort à Steve Jobs !!! Youhou !!! \o/
Ah... attends une seconde. Tu parlais de Flash ? Oupsss...
[^] # Re: Jobs tout puissant
Posté par zebra3 . Évalué à 4.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Jobs tout puissant
Posté par jyes . Évalué à 6.
[^] # Re: Jobs tout puissant
Posté par Gof (site web personnel) . Évalué à 3.
... mais le pape c'est sacré.
# OSEF
Posté par Grunt . Évalué à 1.
Je ne dis pas ça pour être méchant, hein, mais bon: y'en a plein Secunia des annonces comme quoi tel ou tel bidule est troué. Ça serait un logiciel libre, encore, on pourrait comprendre qu'il fasse l'objet d'un journal sur LinuxFR, mais là...
Ne pouvant pas intervenir nous-mêmes, il ne nous reste plus qu'à prier, comme dirait RMS.
heu.. ou à ne pas l'installer, tout simplement.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: OSEF
Posté par KamelPanic . Évalué à 8.
[^] # Re: OSEF
Posté par Grunt . Évalué à 4.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
# No-flash
Posté par ®om (site web personnel) . Évalué à 8.
Et Firefox est bien plus réactif.
blog.rom1v.com
[^] # Re: No-flash
Posté par KamelPanic . Évalué à 3.
[^] # Re: No-flash
Posté par j_kerviel . Évalué à 2.
Oui mais tu ne peux plus voir les pubs vidéos qu'il snous mettent partout.Si c'est une vidéo youtuve, il y a http://tinyogg.com/add/ (en attendant le webm upstream).Pour dailymotion, vimeo, et autres, ça passe parfois dans vlc, dans c?clive, dans keepvid, avec les nombreux plugins Fireofx, etc. Il faut voir au cas par cas.
Le reste c'est 99% de publicités, donc c'est cool.
[^] # Re: No-flash
Posté par yellowiscool . Évalué à 3.
J'ai désinstallé flash de mon mac os x, et c'est tout simplement horrible.
À chaque fois qu'une page web contient du flash, Safari affiche un pop-up de merde qui empêche de cliquer ailleurs disant qu'il manque un plugin et que l'on doit l'installer, nianiania.
Depuis, j'utilise un flashblock, et c'est bien mieux.
Envoyé depuis mon lapin.
[^] # Re: No-flash
Posté par GG (site web personnel) . Évalué à 2.
c'est exactement pour ça que systématiquement j'ajoute Flashblock, qu'il y a un lecteur flash ou non.
A bientôt
Grégoire
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: No-flash
Posté par zebra3 . Évalué à 0.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: No-flash
Posté par ze_lionix (site web personnel) . Évalué à 3.
:-D
Fuse : j'en Use et Abuse !
[^] # Re: No-flash
Posté par Batchyx . Évalué à 4.
(En essayant d'autres alternatives en mode texte, hein ...)
[^] # Re: No-flash
Posté par ze_lionix (site web personnel) . Évalué à 4.
Et pas seulement pour me rappeler le bon vieux temps ou il n'y avait pas d'image sur la toile....
Par contre je n'ai pas essayé d'alternative ( ou est le fouet ? )
La dernière fois ça devait être sur le passage de XF86 a Xorg ou ton mon X a explosé et que je me suis retrouvé à poil, et j'avais que ça pour chercher des infos sur le net ! ( ben j'ai pleuré :o)))
Fuse : j'en Use et Abuse !
[^] # Re: No-flash
Posté par Alexandre COLLIGNON (site web personnel) . Évalué à 0.
Vite vite, un tag ICRA pour que nos geekiddies ne lisent pas ça !
p.s: Si tu n'as pas compris et que tu es arrivé ici cf :https://linuxfr.org/~nemolivier/29833.html
Alexandre COLLIGNON
[^] # Re: No-flash
Posté par ze_lionix (site web personnel) . Évalué à 2.
Sinon concernant l'explosion sus-dité ( aller encore un tag ! ahh ben non c'est pas avec "ce" ;o) faut avoir l'esprit un peu tordu quand même pour chercher des sens cachés comme ca !!!!
En même temps ça m'a bien fait marré.... ( surtout quand j'ai imaginé la scène )...
Fuse : j'en Use et Abuse !
[^] # Re: No-flash
Posté par Ellendhel (site web personnel) . Évalué à 6.
Et Firefox est bien plus réactif.
Juste penser à tripatouiller le about:config et passer la valeur du paramètre plugins.hide_infobar_for_missing_plugin à "true" pour éviter que Firefox signale le souci à chaque page consultée.
[^] # Re: No-flash
Posté par benoar . Évalué à 3.
Sur des petites bécanes qui n'ont pas flash, rien que l'affichage de cette barre faisait lagger à mort FF car la barre s'affiche en slidant pixel par pixel, faisant réafficher la page un pixel plus bas à la fois, opération super lente sur un vieille bécane ... Merci !
# IPoT, ça roxxxe des moules...
Posté par windu.2b . Évalué à 2.
Je sais pour vous, mais moi, grâce à IPoT, j'ai Firefox 3.6.4 (sur le Windows XP du taff) depuis hier.
Par contre, comment peut-on vérifier si Lorentz est présent (et activé) ?
[^] # Re: IPoT, ça roxxxe des moules...
Posté par claudex . Évalué à 4.
Il suffit de naviguer dans des sites remplis de flash jusqu'à ce que flash crash, si ton navigateur tient le coup, c'est que Lorentz est activé.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# malveillant ?
Posté par Tonton Th (Mastodon) . Évalué à 5.
Ah, parce qu'il faut un contenu spécialement construit pour faire crasher Jackouille la Flashouille ? Moi qui croyait naïvement que n'importe quel contenu suffisait. Déçu, je suis...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.