La vulnérabilité dans Flash Player, qui concerne un problème de corruption de mémoire, a été qualifiée de «critique» par Adobe, ce qui signifie qu'elle peut « permettre à un pirate de prendre le contrôle du système affecté, » comme l'indique l'avis qui accompagne le patch. « Des rapports indiquent que cette vulnérabilité est exploitée de manière sauvage pour mener des attaques ciblées utilisant des pages Web infectées, » indique encore l'avis.
La dernière mise à jour d'urgence, dite «out-of-band », date du 5 juin seulement : Adobe avait du corrigé en urgence une faille critique exploitée par des attaquants pour voler des informations de connexion à la messagerie Gmail de Google. Ces attaques étaient différentes de celles révélées par Google la semaine précédente, où le fournisseur de service de messagerie accusait des pirates chinois de cibler certains individus, dont des hauts responsables des gouvernements américains et sud-coréens, des militants antigouvernementaux et des journalistes chinois.
La manoeuvre consistait à rediriger les utilisateurs vers une fausse page d'accueil Gmail et de les inciter à entrer leur nom d'utilisateur et leur mot de passe. Google, qui livre le lecteur Flash en bundle avec Chrome, avait mis à jour son navigateur mardi, en incluant la version tout juste corrigée de Flash. C'est la quatrième fois au cours des deux derniers mois, et la sixième fois depuis le début de l'année qu'Adobe corrige son Player. En outre, la plupart des vulnérabilités de Flash peuvent également être exploitées en utilisant des documents PDF infectés : le lecteur d'Adobe comporte une « authplay.dll», qui permet de lire des éléments Flash dans des fichiers PDF. Mais selon Adobe, le récent bug dans Flash n'affecte pas le Reader.
13 corrections dans le Reader X
Parallèlement à cette mise à jour de sécurité de Flash, Adobe a également corrigé 13 nouvelles vulnérabilités dans son Reader. La version la plus récente, Reader X, a été patchée au moins 17 fois. Tous les correctifs, sauf 2 parmi les 13 nouveaux bugs, ont été qualifiés de « critiques » par Adobe. Comme Apple, Adobe ne classe pas ses failles selon une échelle à plusieurs niveaux, mais les évaluent par des appréciations du genre « pourrait conduire à l'exécution de code à distance » pour dire que, en exploitant le bug, les pirates pourraient détourner le système et y introduire des logiciels malveillants.
Parmi la douzaine de nouveaux bugs, certains concernent des problèmes de corruption de mémoire et de débordement de mémoire tampon, un autre concerne un script inter-document, un autre le détournement de DLL et un autre le «contournement de la sécurité ». Cette dernière vulnérabilité ne concerne que le Reader X, qui, dans certaines circonstances, permet à un attaquant de forcer le plug-in du Reader intégré au navigateur Internet à télécharger un fichier non-PDF, comme l'a expliqué Adobe en réponse à une question dans un fil de discussion.
Adobe corrige encore un bug zero-day dans Flash
0
Réaction
Pour la seconde fois en neuf jours, Adobe a du corriger une vulnérabilité critique dans son Player Flash que les pirates avaient déjà commencé à exploiter. Adobe en a également profité pour mettre à jour son Reader PDF et notamment éliminer 13 nouveaux bugs et plusieurs autres plus anciens que l'éditeur n'avait pas voulu corriger jusque-là.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire