"Shockwave Flash est connu pour être vulnérable"

22

Bonsoir!

Aujourd'hui, j'ai éteint mon ordinateur sans aucun problème et je suis sorti. Quand je suis revenu et j'ai essayé de surfer sur le net, j'ai vu que mon Firefox commençait à me poser ce problème:

"Shockwave Flash est connu pour être vulnérable"

J'ai fait une recherche à ce sujet et j'ai désinstallé et réinstallé le plugin Adobe Flash Player, mais cela n'a pas fonctionné. Mon lecteur flash est également à jour. (Version: 11.02.202.481). Et j'utilise Lubuntu au fait.

Merci pour votre soutien!

lubuntu firefox flash Mabox
la source
3
Alors quelle est ta question? Tout ce que je vois, c'est un tas de déclarations déclaratives. Les sites Stack Exchange sont destinés à des questions spécifiques et fiables - je ne vois aucune question dans votre question. Je vous encourage à le modifier pour clarifier ce que vous demandez (et quelles recherches vous avez faites). Ne nous faites pas deviner ou supposez quelle est votre question.
DW

Réponses:

21

Mozilla, qui développe Firefox, a imposé le blocage parce que des bogues récemment découverts dans Flash étaient activement utilisés par des cyber-voleurs.

Les bogues ont été détaillés dans une cache de documents volés à la firme de sécurité Hacking Team qui a été touchée par des attaquants la semaine dernière.

Adobe a déclaré qu'il prenait la sécurité de Flash "au sérieux" et prévoyait des corrections de bogues.

La source

Il n'y a maintenant aucun moyen de le rendre toujours actif sans invite, mais vous devriez pouvoir autoriser Flash pour le contenu individuel en appuyant sur Activate Adobe Flash:

entrez la description de l'image ici

Ou vous pouvez l'activer pour le site, et même choisir de vous souvenir que vous le souhaitez actif pour ce site:

entrez la description de l'image ici


la source
1
Je sais que Firefox désactive le plugin parce qu'il est ancien, et leur code veut voir une version plus récente - le chemin est le plugin wrapper qui utilise le plugin Pepper Flash de Chrome au lieu de l'ancien plugin natif Linux pour Flash.
Thomas Ward
1
Votre note sur la désactivation de Flash par Firefox en raison de vulns récents n'est pas la seule raison cependant, et a appliqué pour le côté Linux depuis qu'ils ont abandonné les versions plus récentes parce que Version Num <SomeVal. Certes, les récentes vulnérabilités majeures ont poussé cela vers TOUTES les versions actuelles de Firefox et autres, mais ce problème de Flash non activé existe depuis avant les dernières vulns. La solution est de le mettre à jour (ce que nous ne pouvons pas faire car il n'y a pas de nouveaux plugins depuis le support d'Adobe), ou d'utiliser Chrome (et soit Chrome lui-même, soit le wrapper firefox qui utilise Pepper Flash)
Thomas Ward
2
Terrible UX. Je m'en fous que Flash se désactive sur des sites Web aléatoires, je n'ai activé le flash que sur Youtube, mais le fait qu'il me demande à nouveau de le réactiver avec une icône de petit cul dans la barre d'adresse est horrible et juste le dernier exemple de logiciels essayant d'être trop intelligents. Il pourrait avoir une fenêtre contextuelle, comme, vous le savez, toutes les autres invites dans Firefox?
Thomas
4
Flash 11 pour Linux reçoit toujours des mises à jour de sécurité, mais le problème ici est qu'Adobe a globalement un historique de création de ces mises à jour en premier lieu.
Michael Hampton
2
@Thomas Il entre aussi dangereusement sur le territoire des "logiciels essayant de pousser l'agenda de ses créateurs" IMO (que cet agenda aide les utilisateurs ou non)
user253751
19

La méthode acceptée pour obtenir Flash dans Ubuntu et Linux, et une version récente, est avec Google Chrome, car c'est le seul navigateur à proposer une version Flash.

Adobe a cessé de prendre en charge Flash pour Linux (même dans Firefox) vers la version 11. Ils ne produisent plus de «nouvelles» versions Flash pour Linux et la façon dont Firefox gère les plugins. En raison du numéro de version vraiment très ancien (18 est le dernier Flash en général et 11 est la dernière version de plugin Firefox prise en charge disponible pour Linux), et d'autres problèmes de sécurité, Firefox désactive automatiquement ces `` anciennes '' versions. Cela s'applique à tous les systèmes d'exploitation, pas seulement à Ubuntu et * nix. (Bien que @ParanoidPanda soit correct, ils appliquent désormais cela pour quelques versions supplémentaires sur toutes les plates-formes, ce n'est pas la principale raison de cet avertissement dans Ubuntu / Firefox).

Cependant, même si Adobe a retiré la prise en charge native des formats d'API de plug-in de Firefox pour Linux et autres, Adobe et Google ont un accord. Cet accord permet à Google d'envoyer Flash mis à jour qui utilise le framework API Pepper, et il est inclus dans Google.

Il existe des programmes wrapper qui peuvent être installés dans Firefox qui tirent parti de l'utilisation de Pepper Flash dans Chrome, à condition que vous installiez Chrome. Cependant, la plupart des utilisateurs passent simplement à Chrome lorsque c'est le cas.

Je vous suggère d' installer Chrome et de l'utiliser pour parcourir et utiliser des sites Flash (à condition de le tenir à jour).

Notez cependant qu'il n'y a aucun moyen de contourner ce changement dans la politique de Firefox. Il y a une page dans la base de connaissances de l'équipe de sécurité qui détaille un peu plus ce problème, ou du moins, fournit une chronologie pour tous les événements liés à cela.

Thomas Ward
la source
1
Question: Chromium prend-il en charge Pepper Flash? Quoi qu'il en soit, il vaut probablement mieux éviter d'utiliser Flash sur les sites Web; un site qui utilise toujours Flash n'est probablement pas à jour en termes de sécurité.
Paddy Landau
1
@PaddyLandau Je crois qu'il y a un guide quelque part pour faire fonctionner Pepper Flash dans Chromium, ou même un package pour le faire, mais ne me citez pas là-dessus car je n'utilise pas Chromium donc je ne peux pas en attester.
Thomas Ward
1
Je peux confirmer que Chromium prend en charge Pepper Flash. Mon installation actuelle: Chromium 43.0.2357.130 (Ubuntu 15.04) OS Linux plugin Flash 11.2.999.999 /usr/lib/adobe-flashplugin/libpepflashplayer.so
user173876
1
@ThomasW. Le package qui installe Pepper Flash pour Chromium est appelé pepperflashplugin-nonfree et le plugin NPAPI reçoit toujours les mises à jour de sécurité comme mentionné dans votre dernier lien vers le Wiki.
LiveWireBT
1

Essayer de répondre à la question évidente:

Que faire?

  • Assurez-vous que l'ordinateur est connecté à Internet et mettez à jour votre installation avec:
    • update-managerdepuis le tableau de bord
    • ou sudo apt-get update et sudo apt-get dist-upgrade depuis le terminal (vérifiez si la première commande renvoie des erreurs, une raison pour laquelle je ne recommande pas de chaîner les deux avec &&ici)
    • ou quel que soit le gestionnaire de paquets ou le front-end utilisé pour votre distribution / saveur.
  • Vérifiez que le numéro de version de Flash dans la page du plugin correspondant dans les paramètres de votre navigateur correspond exactement au numéro de version publié sur le site Adobes pour Flash .
    • S'il n'essaie pas sudo apt-get install --reinstall flashplugin-installerpour le plugin NPAPI (Firefox et autres) ou remplacez-le par pepperflashplugin-nonfreesi vous utilisez Chromium.
  • Si votre navigateur signale toujours que ce plugin est vulnérable et qu'aucune version plus récente n'est actuellement disponible, faites un choix:
    • Utilisez des alternatives telles que HTML5 chaque fois qu'elles sont disponibles.
    • Choisissez un autre navigateur. (Chrome a déjà acquis la réputation douteuse d'être un équivalent moderne de Flash Player.)
    • Attendez une version mise à jour du plugin pour votre navigateur. Cela peut aller de quelques jours à plusieurs mois ou années.
    • Choisissez de ne pas courir le risque d'exécuter Flash.
      • Fournissez des commentaires utiles (!) À quiconque est responsable de la distribution de ce contenu uniquement via Flash.
      • Si ce n'est que de la vidéo ou de l'audio et en l'absence d'une implémentation HTML5, essayez de télécharger le flux ou le fichier vidéo / audio en utilisant des outils populaires pour cette tâche ou en fouillant manuellement la source du site. (Cela peut être considéré comme un crime dans certains cas.)
    • Exécutez quand même Flash. (Vérifiez les options dans votre navigateur.)
      • Pro: La vulnérabilité existait auparavant et il ne vous est rien arrivé.
      • Inconvénient: une vulnérabilité grave est désormais connue gratuitement de tous les développeurs de ransomwares. Le ransomware est une entreprise rapide et "sérieuse".
LiveWireBT
la source