La notion d'urgence apparaît fréquemment ces derniers jours pour l'application de corrections de sécurité comme par exemple avec Oracle pour Java. Et une nouvelle fois, il y a urgence.

Adobe tire la sonnette d'alarme pour Flash Player dans la mesure où deux vulnérabilités critiques sont actuellement activement exploitées dans le cadre d'attaques qui ciblent les utilisateurs de Windows mais aussi d'OS X.

Adobe Flash Player La première repose sur l'ouverture d'un document Microsoft Word reçu en pièce jointe d'un email et qui embarque du contenu Flash ( fichier swf ) malveillant. L'exploit est concocté pour la version ActiveX de Flash Player sur Windows ( et donc Internet Explorer ).

La deuxième repose sur du contenu Flash malveillant hébergé sur des sites Web. L'exploit vise Flash Player dans Firefox ou Safari sur OS X. Toutefois, des attaques ont aussi recours au même procédé que pour la première faille.

Les vulnérabilités ont été rapportés par Kaspersky Lab ainsi que par The Shadowserver Foundation qui réunit un ensemble de professionnels de la sécurité informatique. Point intéressant, le centre de recherche technologique américain MITRE et la société de défense Lockheed Martin ont aidé. Il y a-t-il eu de la casse ?

Pour savoir si sa version de Flash Player est bien à jour, il est possible de se rendre sur cette page et procéder le cas échéant à un téléchargement. Pour Google Chrome et Internet Explorer 10 qui intègrent nativement la technologie Flash, cette mise à jour sera gérée par Google et Microsoft. La firme de Redmond diffuse déjà le correctif via Windows Update et demande de l'appliquer le plus tôt possible.


Torpiller un vecteur d'attaque populaire
Adobe annonce par ailleurs de nouvelles protections à venir afin de faire échec à un vecteur d'attaque très souvent utilisé comme le prouve son dernier bulletin de sécurité. L'exploitation de failles via du contenu Flash malveillant présent dans des fichiers Microsoft Office.

Pour les versions antérieures à Office 2010, les utilisateurs recevront un avertissement avant l'exécution du contenu Flash par le document et la demande d'une validation ( de quoi faire penser au click-to-play de Firefox ). Cet avertissement ne s'affichera pas avec Office 2010 qui dispose d'un mode protégé ( sandbox ) limitant les privilèges accordés au contenu dans un document.

Flash-OfficeClickToPlay

" Si un utilisateur final ouvre un document embarquant du contenu Flash malveillant, le contenu malveillant ne s'exécutera pas immédiatement […]. Cette étape supplémentaire nécessite que les attaquants intègrent un nouveau niveau d'ingénierie sociale ", explique Adobe.