Mercredi, Adobe a mis en ligne une nouvelle version de Flash Player apportant son lots d'améliorations et de nouvelles fonctionnalités. La communauté Mozilla par la voix de son coordinateur Aza Dotzler, s'est notamment réjouie de cette sortie pour le plus grand bien de son fureteur Firefox 3, en résolvant des problèmes au niveau de la lecture audio et vidéo via des sites aussi populaires que YouTube. D'autres utilisateurs ont également souligné la fin des soucis pour l'accès à certains sites. Mais si cela ne suffit pas pour convaincre à la mise à jour d'un plugin présent sur 99 % des navigateurs dans le monde selon Adobe, Flash Player 10 corrige également plusieurs vulnérabilités de sécurité.
Parmi ces vulnérabilités, une relevant du Clickjacking qui permet à un attaquant de leurrer les internautes en détournant leurs clics de souris opérés dans leur navigateur. En l'occurrence, la version 10.0.12.36 du plugin permet de prévenir une attaque Clickjacking sur la webcam et le microphone d'un utilisateur Flash Player (voir notre actualité).
Pour rester dans le domaine de " l'étrange " avec une certaine perte de contrôle de l'utilisateur, cette dixième mouture corrige également la vulnérabilité que nous avions qualifié de presse-papier fou, permettant d'injecter une URL malveillante dans ce dernier avec l'espoir pour le cybercriminel que l'internaute ne soit pas trop regardant lorsqu'il collera son contenu dans sa barre d'adresse ou le communiquera.
Adobe mentionne également une vulnérabilité au niveau de l'API FileReference et un problème potentiel de port-scanning (sans plus de détails). Toutes ces vulnérabilités peuvent être exploitées à distance via des fichiers SWF spécialement conçus, reste donc à l'attaquant à pousser l'utilisateur à leur chargement (site web malveillant, bannière Flash...).
Parmi ces vulnérabilités, une relevant du Clickjacking qui permet à un attaquant de leurrer les internautes en détournant leurs clics de souris opérés dans leur navigateur. En l'occurrence, la version 10.0.12.36 du plugin permet de prévenir une attaque Clickjacking sur la webcam et le microphone d'un utilisateur Flash Player (voir notre actualité).
Pour rester dans le domaine de " l'étrange " avec une certaine perte de contrôle de l'utilisateur, cette dixième mouture corrige également la vulnérabilité que nous avions qualifié de presse-papier fou, permettant d'injecter une URL malveillante dans ce dernier avec l'espoir pour le cybercriminel que l'internaute ne soit pas trop regardant lorsqu'il collera son contenu dans sa barre d'adresse ou le communiquera.
Adobe mentionne également une vulnérabilité au niveau de l'API FileReference et un problème potentiel de port-scanning (sans plus de détails). Toutes ces vulnérabilités peuvent être exploitées à distance via des fichiers SWF spécialement conçus, reste donc à l'attaquant à pousser l'utilisateur à leur chargement (site web malveillant, bannière Flash...).