La semaine dernière, Adobe révélait l'existence d'une vulnérabilité 0-day dans Flash Player. Cette faille peut permettre à un attaquant de planter un système ou d'en prendre le contrôle. Critique, elle est également présente dans le composant authplay.dll, fourni avec Adobe Reader 10.x et Acrobat 9.x, qui permet l'exécution de contenu SWF.

La vulnérabilité a déjà été exploitée dans des attaques via des fichiers .swf intégrés dans des documents Excel et diffusés dans des e-mails. Pour Adobe Reader X sous Windows, le danger est moindre grâce à la fonctionnalité sandbox ( mode protégé ) qui empêche du code malveillant d'accéder au système d'exploitation.

Une semaine après cette annonce, Adobe offre une correction. Pour Flash Player, il est ainsi recommandé de passer à la version 10.2.153.1 ( voir cette page pour connaître sa version installée ) pour Windows, Macintosh, Linux et Solaris. Avec Android, ce sera la version 10.2.156.12.

La navigateur Google Chrome propose une version intégrée du plugin Flash Player. Avant la correction d'Adobe, Google a publié une nouvelle version de Google Chrome pour combler la faille. Le plugin intégré doit être 10.2.154.25 ( about:plugins dans l'Omnibox pour vérifier ). À noter également que l'environnement d'exécution AIR est recommandé en version 2.6.

Pour Adobe Reader, une version 9.4.3 est disponible pour Widnows et Macintosh, ainsi qu'une version 10.0.2 pour Macintosh. La faille fera l'objet d'une correction dans Adobe Reader X pour Windows le 14 juin prochain ( correctifs trimestriels ).