Adobe publie un bulletin de sécurité pour Flash Player. Autrement dit, il est nécessaire de mettre à jour Flash Player afin de corriger des vulnérabilités critiques. Trois problèmes ont été identifiés.
Pour Internet Explorer 10 et 11 sur Windows 8 et 8.1, la mise à jour de Flash Player est comprise dans le Patch Tuesday de Microsoft. Pour Windows et OS X, le composant Flash Player de Google Chrome est également mis automatiquement à jour ( à noter que cela ne nécessite pas une mise à jour du navigateur lui-même ).
Dans les autres cas, il est possible de connaître sa version de Flash Player en se rendant sur cette page pour procéder le cas échéant à une mise à jour. Pour Windows et OS X, la dernière version de Flash Player est 14.0.0.145 et 11.2.202.394 pour Linux.
Les vulnérabilités corrigées dans Flash Player permettent un contournement de la sécurité pour deux d'entre elles. Pour la troisième, Adobe a apporté des vérifications de validation supplémentaires afin de s'assurer que Flash Player rejette du contenu malveillant.
Ingénieur en sécurité de l'information chez Google, Michele Spagnuolo a mis au jour cette troisième vulnérabilité et présente un outil dénommé Rosetta Flash. Il peut convertir des fichiers Flash à l'extension .SWF en un fichier SWF valide uniquement composé de caractères alphanumériques et permettant à un individu d'exploiter des attaques Web ( via les sites qui acceptent les mises en ligne de fichiers SWF ).
D'après Michel Spagnuolo, plusieurs sites populaires étaient vulnérables dont des sites Google, YouTube, Twitter, Instagram, eBay, Tumblr. Tous ont été prévenus avant la publication du chercheur et la faille a d'abord été communiquée de manière confidentielle à Adobe.
Un des risques avec une attaque est la possibilité d'accéder aux cookies d'authentification des utilisateurs à des sites et services Web.
