MàJ : Adobe a modifié son avis de sécurité pour indiquer que l'exploit concerne toutes les versions de Windows (Windows 10 et versions antérieures).

-----

Le CERT-FR publie un bulletin d'alerte concernant une vulnérabilité de sécurité découverte dans Flash Player d'Adobe. De type exécution de code arbitraire à distance, elle affecte la plus récente version de Flash Player (21.0.0.197) et les versions antérieures sur Windows, OS X, Linux et Chrome OS.

S'il y a alerte, c'est parce que cette vulnérabilité critique fait l'objet d'une exploitation dans des attaques. En particulier, elles ciblent les utilisateurs de Windows 7 et Windows XP avec Flash Player version 20.0.0.306 ou antérieure.

Le CERT-FR recommande de désactiver Flash Player jusqu'à la mise à disposition d'un patch par Adobe qui devrait intervenir le 7 avril au plus tôt. Dans son propre avis de sécurité, Adobe est un tantinet moins alarmiste en précisant que la version 21.0.0.182 de Flash Player a introduit une mesure d'atténuation qui empêche l'exploitation (ou du moins complexifie son exploitation).

Référencée CVE-2016-1019, ladite faille a été signalé à Adobe par le chercheur en sécurité français Kafeine, Genwei Jiang de FireEye, ainsi que Clement Lecigne de Google. Pas de divulgation publique tant que le problème n'est pas corrigé.

Généralement, Adobe publie ses patchs le deuxième mardi du mois, en concomitance avec le Patch Tuesday de Microsoft. Les cas d'urgence sont une exception à cette règle.

Suivre la préconisation du CERT-FR sur la désactivation temporaire de Flash Player peut se faire plus ou moins simplement. Avec le navigateur Firefox, il suffit de se rendre dans le gestionnaire des modules complémentaires et dans la catégorie des plugins. C'est un poil plus complexe avec Google Chrome où un composant Flash Player est intégré par défaut. Il faudra passer par chrome://plugins dans la barre d'adresse.

Internet Explorer propose également un gestionnaire des modules complémentaires, tandis que pour Microsoft Edge (Flash Player intégré par défaut), l'affichage des paramètres avancés offre la possibilité de désactiver l'utilisation de Flash Player.