Adobe Systems a publié une mise à jour de sécurité pour son Flash Player qui corrige 24 vulnérabilités critiques, dont celle exploitée la semaine dernière par des pirates pour infecter les ordinateurs avec un ransomware. Jeudi dernier, la société a invité les utilisateurs à mettre à niveau leur version de Flash Player pour passer à la 21.0.0.213 sur Windows et Mac et 11.2.202.616 sur Linux. La mouture Flash Player Extended Support a également été mise à jour avec la déclinaison 18.0.0.343.
Comme d'habitude, le Flash Player intégré à Google Chrome sur toutes les plateformes, Microsoft Edge et Internet Explorer pour Windows 10 et IE pour Windows 8.1 sera mis à jour automatiquement par le biais des mécanismes d’update de ces navigateurs.
Lutter contrer les injections de code
Vingt-deux des vulnérabilités nouvellement patchées peuvent entraîner l'exécution de code à distance sur les ordinateurs des utilisateurs, et conduire à une exploitation de la fonction bypass. Ceci afin de contourner la randomisation de la mémoire qui est censée rendre plus facile l’injection de code. Le point culminant de cette mise à jour est le correctif qui comble une vulnérabilité activement exploitée depuis la semaine dernière par les cyber-pirates. Selon les chercheurs en sécurité de Proofpoint, depuis le 31 Mars cet exploit a été utilisé dans des attaques basées sur le web pour infecter des ordinateurs avec des programmes de type ransomware pour le chiffrement des fichiers de cryptage.
Heureusement, l'exploit pour CVE-2016-1019 a seulement été utilisé contre Flash Player 20.0.0.306 et antérieures. Les utilisateurs qui étaient déjà passés à Flash Player 21.0.0.182, sortie en mars dernier, étaient protégés parce que l'exploit ne pouvait pas s’exécuter correctement sur cette version. Le défaut de code est toujours présent dans Flash Player 21.0.0.182, mais une atténuation ajoutée par Adobe dans cette version empêche l'exploitation du bug pour l'exécution de code à distance.
Depuis l'an dernier, la société a renforcé son lecteur Flash, avec l’aide de Google. Il semble que ces efforts, visant à rendre l'exploitation des vulnérabilités de corruption de mémoire plus difficiles, finissent par payer.