Adobe a publié des mises à jour de sécurité pour Flash Player. Elles corrigent deux failles donnant la possiblité à des attaquants de contourner les contrôles de sécurité intégrés dans le logiciel. Une de ces vulnérabilités est connue sous la référence CVE- 2014-0504 et elle peut être exploitée pour lire le contenu du presse-papier de l'ordinateur, c'est-à-dire l'espace de stockage qui sert à garder les opérations de copier-coller. La seconde faille, identifiée sous le code CVE- 2014-0503, tente de contourner la règle de restriction d'origine, une fonctionnalité importante qui empêche les ressources téléchargées d'accéder à des serveurs qui ont des domaines différents de celui d'origine.
Des failles importantes, mais pas critiques
Les bulletins de sécurité d'Adobe concernent Flash Player 12.0.0.77 pour Windows et Mac, Flash Player 11.2.202.346 pour Linux. Les plug-ins distribués avec Chrome, IE10 sur Windows 8 et IE11 sur Windows 8.1 seront automatiquement mis à jour sur la version 12.0.0.77. L'éditeur a qualifié ces vulnérabilités d'importantes et non pas critiques, car il n'y a pas de risque d'exécution de code à distance. L'absence de correctifs critiques dans les mises à jour de Flash Player est un peu rare, mais pour ce cas précis, Adobe a été obligé le 20 février de corriger en urgence une faille zero day qui était activement exploitée dans des attaques ciblées.
Adobe corrige des failles importantes dans Flash Player
A l'occasion de sa mise à jour de sécurité, Adobe a corrigé deux failles dans Flash Player qui permettent d'éviter les fonctions de sécurité intégrées au lecteur.