Adobe a corrigé 7 vulnérabilités critiques dans Flash Player, y compris celle trouvée par les chercheurs de Google et que des pirates ont utilisée lors d'attaques ciblées. Ils sont passés par une faille XSS (cross site scripting) dans le plug-in du lecteur Flash pour IE de Microsoft.
« Cette mise à jour corrige une faille de type XSS qui pourrait être utilisée pour voler l'identité d'un internaute sur un site web ou sur un webmail » peut-on lire sur l'avis de sécurité émise par Adobe. « Il existe des preuves que cette vulnérabilité a été utilisée dans des attaques ciblées visant à tromper l'utilisateur en cliquant sur un lien malveillant transmis dans un message électronique. » L'éditeur note néanmoins que cette méthode ne fonctionne que sur IE. Cette faille a été notifiée par les chercheurs de Google, mais Adobe n'a pas indiqué la date du dépôt de cette découverte et donc depuis combien de temps les pirates y ont eu accès.
Une sandbox pour IE en préparation et en test pour Firefox
Les 6 autres failles corrigées sont considérées comme critiques par Adobe. Elles concernent des problèmes de corruption de mémoire ou des contournements d'éléments de sécurité. Les vulnérabilités pourraient « provoquer un plantage et potentiellement donner la possibilité à des pirates de prendre le contrôle du système affecté ». Les corrections s'adressent à Flash Player 10 et 11 sur Windows, Mac OS X, Linux et Solaris, et Flash Player sur Android. Elles sont téléchargeables depuis le site d'Adobe où elles se feront automatiquement. Les utilisateurs d'Android peuvent récupérer la mise à jour sur l'Android Market.
Google a également mis à jour le lecteur Flash pour Chrome. Depuis avril 2010, le lecteur est inclus dans le navigateur.
La semaine dernière, Adobe a confirmé qu'il travaillait sur la mise en place d'une «sandbox» pour le plug-in Flash Player dans Internet Explorer. Ce système de défense a déjà été intégré à d'autres navigateurs. Ainsi Chrome en bénéficie depuis 2010 et l'éditeur vient de lancer une version bêta pour Firefox sur Windows Vista et 7.
Adobe corrige des failles critiques dans Flash Player
L'éditeur du lecteur Flash a publié une mise à jour de sécurité corrigeant 7 failles, dont une sur le plug-in d'Internet Explorer. Adobe travaille aussi sur un système de sandbox sur son lecteur pour les navigateurs Internet.