Flash Player 9 : exploitation massive d'une vulnérabilité

Pour protéger son infrastructure Internet, les Etats-Unis ont créé en 2003 l’US-CERT dont l’une des missions est de coordonner la défense contre les cyber-attaques. C’est donc en somme l’oncle Sam en personne qui avertit les internautes du monde entier de la présence d’une vulnérabilité affectant le très utilisé Flash Player d’Adobe. Si l’US-CERT sonne l’alerte, c’est que cette vulnérabilité est actuellement massivement exploitée.


Mise à jour recommandée
Cette vulnérabilité est liée à ActionScript 3.0 qui a été introduit dans Flash Player version 9. Les versions antérieures ne sont donc pas concernées. Pour l’exploiter, un attaquant distant doit inciter sa victime à ouvrir du contenu Flash spécialement conçu sur divers sites piégés, et ce parfois à leur insu via injection SQL. Dans ce cas, l’utilisateur est redirigé vers du contenu Flash malveillant.

A priori, tous les navigateurs Web sont susceptibles de se laisser berner par cette vulnérabilité, mais heureusement pour ceux qui aiment à surfer sans faire trop attention, la dernière version de Flash Player estampillée 9.0.124.0 qui avait déjà comblé pas mal de failles, offre un rempart de sécurité. Profitons en pour rappeler au passage qu’une version bêta de Flash Player 10 peut être téléchargée depuis Adobe Labs.