Comme promis, Adobe diffuse une mise Flash Player qui corrige les vulnérabilités de sécurité critiques identifiées en tant que CVE-2015-5122 et CVE-2015-5123. Toutes les deux ont été trouvées dans les documents fuités après le piratage de la société Hacking Team. Adobe rapporte des exploits dans la nature pour cibler ces vulnérabilités.

Les cybercriminels n'ont pas chômé et ont pu très rapidement intégrer ces vulnérabilités dans des kits d'exploits populaires. Sans l'application du correctif, les utilisateurs sont donc potentiellement exposés à des attaques qui étaient inconnues jusqu'à présent (sauf pour Hacking Team…).

Déjà la semaine dernière, Adobe avait publié en urgence (hors cycle) une mise à jour de sécurité pour Flash Player afin de combler une faille CVE-2015-5119 également exploitée dans des attaques et identifiée dans des documents de Hacking Team. L'éditeur avait profité au passage pour corriger 35 autres vulnérabilités.

Cela fait beaucoup de patchs en peu de temps pour Flash Player même si l'on pourra mettre au crédit d'Adobe sa grande réactivité. Mais ce n'est pas suffisant pour faire taire les critiques.

Mozilla a pris la décision de bloquer par défaut les versions vulnérables de Flash Player dans Firefox via la procédure du cliquer pour activer. Un blocage qui n'est plus en vigueur avec la toute dernière mise à jour correctrice de Flash Player.

Ce genre de blocage par défaut pour Firefox n'est pas inédit (voir cet historique) mais le responsable du support de Firefox chez Mozilla l'a annoncé en reprenant une bannière Occupy Flash. Une allusion au mouvement de protestation Occupy qui en dit long sur une certaine exaspération.

Devenu le mois dernier le responsable de la sécurité informatique chez Facebook (après avoir occupé un même poste chez Yahoo), Alex Stamos a tout simplement décrété qu'il est temps pour Adobe " d'annoncer une date de fin de vie pour Flash Player et de demander aux navigateurs de le tuer le même jour. "

En réaction à ce qui est devenu un vecteur d'attaque de premier choix en raison de vulnérabilités, cette position est d'autant plus facilitée que la technologie HTML5 est de plus en plus à même de prendre le relais.

Reste que pour le moment, les utilisateurs concernés devront télécharger la dernière version de Flash Player non vulnérable (version 18.0.0.209 pour Windows et OS X). Pour Internet Explorer sur Windows 8.x et Google Chrome, Microsoft et Google diffusent une mise à jour de leur navigateur (qui intègre par défaut un composant Flash Player).

Flash-Player-derniere-version