En début de semaine, Adobe a publié un avis de sécurité pour alerter au sujet de l'exploitation d'une vulnérabilité 0-day faisant l'objet d'une exploitation dans des attaques et de l'arrivée imminente d'un correctif. Celui-ci est désormais disponible.
Ayant contribué à la découverte de la faille critique jusqu'alors non connue, Proofpoint (avec son chercheur en sécurité Kafeine) - qui a détecté le problème le 2 avril chez un client - indique que le code exploit a été intégré dans les kits d'exploits Nuclear et Magnitude afin de permettre des infections par les ransomwares Locky et Cerber.
L'exploit est dans la nature depuis au moins le 31 mars 2016. Une particularité notable est qu'il a été implémenté de manière à ne cibler que les anciennes versions de Flash Player. Un choix étrange, alors que Proofpoint souligne qu'il est potentiellement fonctionnel sur n'importe quelle version (avant le patch d'Adobe).
L'éditeur de Flash Player a cependant estimé que les versions 21.0.0.182 et ultérieures étaient protégées contre une exploitation. Même si la vulnérabilité y est présente, l'exploitation échoue en raison de la présence de mesures de protection natives.
FireEye écrit que la vulnérabilité est de type corruption de mémoire et existe dans une API ASnative non documentée. Outre cette vulnérabilité critique faisant l'objet d'attaques, Adobe en corrige d'autres (a priori pas activement exploitées) dans sa mise à jour de sécurité pour Flash Player, soit plus d'une vingtaine au total. Toutes les plateformes sont concernées (Windows, OS X, Linux, Chrome OS).
Pour connaître sa version de Flash Player installée et procéder à une éventuelle mise à jour, il suffira de se rendre sur cette page. Avec Google Chrome, Microsoft Edge et IE11 qui intègrent un composant Flash Player par défaut (et avec une protection de confinement spécifique), la mise à jour se fait par le biais du navigateur lui-même.
