Un document volé à l’entreprise de sécurité italienne Hacking Team fait état de plusieurs vulnérabilités zero-day présentes dans le plug-in d’Adobe. Lundi soir, l’éditeur, qui a promis de livrer un correctif cette semaine, n’avait toujours pas corrigé les seconde et troisième vulnérabilités zero-day identifiées dans son Player Flash. Le patch est arrivé aujourd’hui mais, dès lundi, Mozilla a commencé à systématiquement bloquer toutes les versions d’Adobe Flash Player, l’empêchant de fonctionner automatiquement dans son navigateur. Les versions actuelles v.39 de Firefox, aussi bien sous Windows et que sous OS X, bloquent désormais le lecteur Flash d’Adobe.
Vendredi soir, un document trouvé parmi les gigaoctets de données et de documents volés à l’entreprise de sécurité italienne Hacking Team, mentionnait la présence d’une autre faille zero-day dans Flash. Les failles zero-day, désignent des vulnérabilités pour lesquelles l’éditeur n’a pas encore trouvé de solution ou développé de correctif. C’était la seconde faille zero-day repérée en 5 jours dans le lecteur d’Adobe. La première a été corrigée le 8 juillet, mais une seconde et une troisième faille ont été identifiées depuis. Actuellement, ces seconde et troisième vulnérabilités n’ont toujours pas été corrigées, même si Adobe a promis de résoudre le problème cette semaine.
Une vulnérabilité problématique
Dès lundi matin, Mozilla a demandé à ses ingénieurs d’ajouter le dernier Player Flash 18.0.0.203 à la liste des plug-ins bloqués par Firefox, et avant la fin de la journée ils avaient terminé leur travail, testé le blocage et livré la version 39 aux utilisateurs de Firefox. Tant qu’Adobe ne fournira pas de correctif pour Flash, Firefox n’activera pas automatiquement le lecteur. Les utilisateurs sont avertis du blocage, même s’ils ont appliqué la dernière version 18.0.0.203 du Player Flash livrée par Adobe mercredi 8 juillet pour corriger la première des trois failles zero-day.
Mozilla a expliqué cette procédure inhabituelle dans un message posté sur le fil Bugzilla traitant du sujet. « Tant qu’Adobe ne livre pas de mise à jour dépourvue de failles, nous envisagerons le blocage des Player Flash vulnérables (en fait, toutes les versions) pour ne pas laisser des millions de gens utiliser des versions activement exploitées sans les avertir des risques », a écrit Mark Schmidt, principal responsable du support de Firefox. Depuis que le blocage est en place, chaque fois qu’une page essaye de jouer un contenu Flash dans Firefox un message apparaît en haut de la fenêtre du navigateur indiquant que « Firefox a empêché le plug-in Adobe Flash Player de fonctionner sur l'URL cible ».
Les utilisateurs peuvent contourner le blocage en cliquant sur le bouton « Autoriser » à l'extrême droite du message Malgré l’alerte, ils peuvent autoriser l’activation du plug-in de façon ponctuelle (« Cette fois seulement ») ou permanente (« Toujours »).