« Flashplugin », deux solutions équivalentes ?

Support Debian
#1

Bonjour à tous,

En installant manuellement Flashplugins d’Adobe ce matin (sans passer par l’installeur car sur ma Squeeze, cela ne fonctionne pas…), je me suis posé la question de sécurité suivante :

Y a t’il une répercution sur la sécurité du système en copiant-collant le fichier « libflashplugins.so » dans l’un des deux répertoire ci-dessous, notamment si la version de Flash est attaquée via l’une de ses failles ?

  1. /usr/lib/mozilla/plugins/ (qui nécissite des droits admin)
  2. /home/“perso”/.mozilla/plugins/ (qui ne nécessite que les droits utilisateur)

Votre avis de pros de Debian intéresse le Padawan que je suis sur ce point de sécurité (en espérant que ma question ne soit pas trop ridicule).

Merci par avance :wink:

#2

Dans les deux cas le plugin Flash tournera avec les mêmes droits que ton navigateur, c’est à dire avec les droits de ton utilisateur. Ça ne changerait pas grand chose pour un attaquant qui arriverait à exploiter une faille grave (genre exécution de code arbitraire).

La seule différence à laquelle je pense c’est que si tu mets le .so dans /home/… l’attaquant serait alors en mesure de le remplacer par une version vérolée qui s’exécuterait à chaque fois que tu visionnes du Flash. Donc vaut mieux quand même le mettre dans /usr/… avec les bons droits (root:root 644).
Cela dit si l’attaquant arrive à exécuter du code arbitraire, il a tellement de possibilités à sa disposition que remplacer le .so serait certainement la dernière de ses préoccupations (tenter une élévation de privilège ou bien aller fouiner dans tes fichiers voir s’il y a des infos confidentielles serait beaucoup plus intéressant). :wink:

#3

Merci pour ta réponse :wink:

#4

Merci, pour le tuyau. ca fonctionne.