En publiant la version 11.2 de son lecteur Flash Player, Adobe a corrigé deux failles critiques. L'une des vulnérabilités patchées concerne la façon dont les anciennes versions de Flash Player vérifie les règles de sécurité des URL et affecte le plug-in ActiveX sur Internet Explorer, dans  Windows 7 ou Vista. Les deux failles peuvent déclencher des conflits mémoires et être exploitées pour exécuter du code à distance. Toutefois, Adobe ignore encore quels sont les  actes de piratage en ligne qui pourraient être effectués au travers de ces failles, a indiqué Lips Wiebke, directrice de la communication de l'éditeur.

Les utilisateurs de Flash Player 11.1.102.63 et  des versions antérieures pour Windows, Mac, Linux et Solaris sont priés de mettre à jour la version 11.2 du lecteur sur leurs plateformes respectives. L'éditeur conseille à ceux qui utilisent la version 11.1.111.7 pour Android de passer à la 11.1.111.8.

Une mise à jour automatique intégrée


Flash Player 11.2 dispose également d'un mécanisme de mise à jour qui peut être configuré pour vérifier et déployer les correctifs en arrière-plan, sans intervention de l'utilisateur. Cette  fonctionnalité figurait dans les projets d'Adobe depuis longtemps. L'éditeur devrait baisser le nombre de téléchargements de Flash Player ancien, cible potentielle des hackers. « La mise à jour en arrière-plan améliore la satisfaction de nos clients et nous permet de répondre plus rapidement aux attaques zero-day», a déclaré Pélée Uhley, responsable de la sécurité chez Adobe, dans un billet de blog. «Ce modèle de mise à jour est similaire à celui proposé par Chrome, et cette approche a eu beaucoup de succès. Nous espérons faire de même. »

Cette avancée a été saluée  par Thomas Kristensen, responsable de la sécurité chez Secunia, un éditeur qui développe le programme de gestion des correctifs Personal Software Inspector (PSI). « Un mécanisme de mise à jour automatique et silencieuse dans Flash Player aidera la majorité des utilisateurs ». considère t-il. « Une remise à niveau plus cohérente et plus rapide de la base utilisateur est susceptible d'influer sur le comportement des pirates », a-t-il ajouté. Bien sûr, cette fonction n'entrera en action seulement après que la grande majorité des utilisateurs décide de passer à la version 11.2 de Flash Player ou à une version ultérieure en utilisant l'ancienne méthode qui exige une approbation explicite.

[[page]]

Lorsque la v.11.2 sera installée, les utilisateurs seront invités à choisir une méthode de mise à jour. Les choix possibles sont: l'installation automatique des mises à jours disponibles (recommandé), ou l'information sur les mises à jour qui sont disponibles, ou la non vérification des remises à niveau (non recommandé).

Prévenir les attaques et les scams

La mise à jour silencieuse tentera de contacter le serveur de remise à niveau d'Adobe toutes les heures jusqu'à ce qu'elle réussisse. Si elle reçoit comme réponse valide du serveur qu'aucune mise à jour n'est disponible, il faudra attendre 24 heures avant qu'elle essaye encore. Pour l'instant, l'option de mise à jour automatique est disponible uniquement dans Flash Player sous Windows, mais Adobe travaille également sur sa mise en oeuvre pour les versions Mac. Ceux qui modifient les paramètres par défaut du lecteur Flash auront besoin d'une interaction utilisateur. Ce procédé de mise à jour silencieuse pourrait également réduire le nombre d'arnaques par e-mails (scams) qui répandent des malwares lors des mises à jour.

« Le prétexte d'une mise à jour de Flash Player a été intensivement utilisé par les cybercriminels pour tromper les utilisateurs et les inciter à télécharger des contenus malveillants» , a souligné Bogdan Botezatu, analyste de l'éditeur de solutions antivirus BitDefender. « En supprimant l'assistant de la remise à niveau, les utilisateurs seront probablement plus difficiles à duper sous le prétexte d'une mise à jour légitime requise par une application pour laquelle ils ont confiance », a-t-il ajouté. Mais d'après ce dernier, malheureusement, ce mode de mise à jour silencieuse ne peut être appliquée à toutes les applications, L'analyste donne l'exemple d'Internet Explorer 6, que Microsoft tente de supprimer progressivement, mais que les entreprises utilisent encore largement en raison d'applications professionnelles dépendantes du navigateur, qui ne fonctionnent pas avec des versions plus récentes.

Adobe fait ce qu'il peut pour convaincre les utilisateurs de s'éloigner d'Internet Explorer 6. «Nous n'inclurons plus de tests avec Internet Explorer 6 dans notre processus de certification et nous encourageons vivement les internautes à passer à la dernière version du navigateur», a conseillé le responsable de la sécurité d'Adobe.