Exploitables à distance, lesdites failles peuvent conduire à la prise de contrôle d'un système vulnérable. Du grand classique pour le schéma d'exploitation avec comme étape préalable, le chargement d'un fichier SWF malveillant dans Flash Player. Ces vulnérabilités sont dues à un débordement d'entier, une erreur au niveau du traitement des entêtes HTTP ou encore des erreurs de validation d'entrées avec plusieurs APIs d'où le risque d'injection d'un code HTML/JavaScript malicieux.
Une vulnérabilité qui a trahi Windows Vista
Parmi les 7 vulnérabilités listées par Adobe, à noter que l'une d'entre elles a permis à Shane Macaulay de gagner un portable lors du dernier concours de hacking organisé pendant la conférence CanSecWest. Via l'exploitation de cette faille, Maculay a mené avec succès une attaque sur un ordinateur portable équipé d'une version à jour de Windows Vista SP1. Plus précisément, la vulnérabilité de Macaulay à qui l'on attribue la paternité avec toutefois d'autres chercheurs (Adobe aurait d'ailleurs eu vent de cette vulnérabilité avant le concours), est relative à un débordement de mémoire au niveau du traitement d'une balise " Declare Function (V7) " avec un risque d'exécution de code arbitraire après consultation d'une page Web piégée, ce qu'avait demandé Macaulay aux organisateurs du concours.
Flash Player fait souvent la une de l'actualité sécuritaire. Il faut dire que c'est un vecteur d'attaque idéal car très populaire en étant présent sur une grande majorité des ordinateurs à travers le monde.
