Hier, Adobe a patché six vulnérabilités dans son lecteur Flash, dont une déjà exploitée par des pirates, comme l'a reconnu l'éditeur. Cette vulnérabilité, identifiée par la référence CVE-2011-2444, partage certaines caractéristiques avec une faille antérieure de Flash, utilisée au mois de juin dernier pour cibler les comptes d'utilisateurs Gmail, la messagerie de Google. Adobe a qualifié cette vulnérabilité de cross-site scripting (XSS), un genre prisé par les voleurs d'identité pour subtiliser des identifiants et des mots de passe sur des navigateurs Internet vulnérables. Cette fois, ils n'ont pas directement visé les navigateurs web. Par contre, les attaquants ont exploité le plug-in Flash présent dans tous les navigateurs Internet. Comme celui du mois de juin, le bug CVE-2011-2444 a été signalé à Adobe par l'équipe de sécurité de Google.
Le contenu de l'avis publié par Adobe décrivant la vulnérabilité CVE-2011-244, ressemble presque mot pour mot à ce que l'éditeur avait mentionné dans son bulletin de sécurité à propos de la précédente faille de juin. « Des informations indiquent que cette vulnérabilité est exploitée de manière sauvage dans des attaques actives et ciblées visant à tromper l'utilisateur, l'incitant à  cliquer sur un lien malveillant diffusé par mail, » a déclaré Adobe. « Cette vulnérabilité XSS pourrait être utilisée par les attaquants pour prendre le contrôle des comptes utilisateurs détenus sur tout site Web ou par tout fournisseur de service de messagerie, si l'utilisateur s'est rendu sur le site malveillant. » Adobe a refusé de donner des détails sur la manière dont la vulnérabilité CVE-2011-2444 était exploitée, renvoyant ces questions vers Google. Le géant de la recherche sur Internet n'a pour l'instant pas répondu à une demande de commentaires.
Cinq bugs corrigés dans ce patch
Quant aux quatre des cinq autres bogues de Flash patchés par Adobe, « ils pourraient être exploités par des attaquants pour exécuter un code malveillant sur les ordinateurs de leurs victimes, » a déclaré Adobe dans son bulletin. La mise à jour de Flash livrée mercredi est la première depuis celle du 9 août dernier, laquelle corrigeait 13 vulnérabilités. Depuis le début de l'année, c'est la huitième fois qu'Adobe corrige son lecteur Flash. Cela inclus les patchs « out-of-band », c'est-à -dire hors du calendrier régulier de mise à jour d'Adobe, livrés en urgence pour parer à des attaques en cours.
Les versions corrigées du Player Flash pour Windows, Mac, Linux et Solaris peuvent être téléchargées à partir du site Web d'Adobe. Comme toujours, les utilisateurs peuvent également passer par l'outil de mise à jour de Flash ou attendre l'invite du logiciel indiquant qu'une nouvelle version est disponible. Les utilisateurs d'Android doivent se rendre sur l'Android Market pour obtenir la dernière version du Player d'Adobe.
Google a discrètement mis à jour son navigateur Chrome mardi avec la version patchée du Player Flash. Depuis avril 2010, Google inclus Flash avec Chrome, et reste le seul éditeur de navigateur Internet à livrer en bundle le plug-in avec ses propres mises à jour.