Alors que Microsoft vient d'alerter les utilisateurs au sujet d'une vulnérabilité de sécurité dans Internet Explorer exploitée dans des attaques, Adobe publie une mise à jour Flash Player afin de corriger une vulnérabilité critique.

Il s'agit d'une publication en urgence qui n'attend pas un alignement sur un Patch Tuesday de Microsoft et s'adresse à Windows, OS X et Linux. Pour cette vulnérabilité de dépassement de mémoire tampon permettant une exécution de code arbitraire, Adobe indique être au courant d'une exploitation dans des attaques.

Adobe Flash Player En l'occurrence, ces attaques ont ciblé la plateforme Windows. La vulnérabilité a été découverte début avril par Kaspersky Lab qui a repéré au moins deux exploits qui en tirent parti. Ces exploits étaient présents dans des fichiers movie.swf et include.swf sur un site infecté.

Alors que le premier exploit a été utilisé pour infecter n'importe quel ordinateur avec Flash Player installé, le deuxième nécessitait la présence sur un ordinateur pris pour cible du contrôle ActiveX Flash Player 10 et du plugin Cisco MeetingPlace Express ( solution de conférence Web, voix et vidéo ).

Les attaques repérées ont été lancées depuis un site Web compromis en septembre du ministère de la Justice en Syrie et via un forum en ligne de celui-ci à destination des citoyens. Pour Kaspersky Lab, il s'agissait d'espionner des dissidents syriens se plaignant du gouvernement. La nature du malware diffusé par les exploits n'est cependant pas connue.

La possibilité existe désormais que des cybercriminels tentent de s'inspirer de tels exploits pour fomenter d'autres attaques ailleurs. La correction de la faille doit donc être appliquée par tous.

Il est possible de connaître sa version de Flash Player installée en se rendant ici et procéder le cas échéant à une mise à jour. Pour Windows et OS X, il faut disposer de Flash Player 13.0.0.206, et la version 11.2.202.356 pour Linux ( où le déploiement n'est pas jugé prioritaire ).

La version la plus à jour est en outre comprise dans Google Chrome, ainsi qu'Internet Explorer 10 et 11 sur Windows 8.x. À noter que la mise à jour d'IE diffusée par Microsoft n'est pas en relation avec la faille 0-day évoquée ce week-end.