C'est une mise à jour de sécurité hors cycle pour Flash Player. Cette publication pour combler une vulnérabilité de sécurité critique répond donc à une urgence. Elle est légitimée par le fait qu'un exploit existe dans la nature et est utilisé dans le cadre d'attaques ciblées.

Les détails manquent toutefois pour le moment. Tout juste sait-on que ces attaques visent des utilisateurs de Windows 7 à 10. La vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance. Elle est en rapport avec des problèmes de corruption de mémoire.

A priori, des attaquants peuvent donc utiliser des données après la libération de l'espace mémoire afin d'exécuter du code potentiellement malveillant à distance.

La vulnérabilité CVE-2016-7855 a été divulguée de manière privée auprès d'Adobe par deux chercheurs en sécurité du Threat Analysis Group de Google. À titre indicatif, un de ces chercheurs est connu pour avoir débusqué la faille Heartbleed en 2014, suite à l'examen du code source de OpenSSL.

Comme à chaque fois, il est possible de connaître sa version de Flash Player en se rendant sur cette page et procéder le cas échéant à un téléchargement (pour la version 23.0.0.205). Pour les navigateurs intégrant Flash Player par défaut, il faudra attendre leur mise à jour.