Depuis quelques semaines, le vent des vulnérabilités souffle sur le lecteur Flash d'Adobe. En une dizaine de jours, plusieurs vulnérabilités ont en effet été découvertes, dont la zero-day CVE-2015-0311 qui a bénéficié d'un correctif. Mais ce n'était pas encore le cas pour une autre, la CVE-2015-0313, qui bénéficie depuis hier d'un correctif qu'Adbobe a commencé à distribuer. Ce dernier permet de combler une faille déjà exploitée par le biais d'attaques liées à des publicités malveillantes pouvant déboucher sur la prise de contrôle d'un système par un utilisateur distant. Les versions du lecteur Flash concernées incluent Windows, Mac OS X et Linux.
Les personnes ayant activé la fonction automatique de mise à jour du lecteur Flash vont recevoir bientôt la mise à jour 16.0.0.305. Mais l'éditeur va également proposer sous peu un patch qui pourra être appliqué manuellement, comme indiqué dans son bulletin d'alerte.
Si Adobe se montre assez précis concernant la diffusion de la mise à jour de son lecteur Flash, via la procédure de mise à jour de téléchargement automatique ou bien à télécharger directement sur son site, l'éditeur se montre en revanche plus disert concernant les versions Flash intégrées directement aux navigateurs. « Nous travaillons avec nos partenaires de la distribution pour rendre disponible la mise à jour dans Google Chrome et Internet Explorer 10 et 11 », indique Adobe.
Des publicités malveillantes pas toujours détectées
Les chercheurs de Trend Micro et de Microsoft ont trouvé la faille après avoir vu qu'elle avait été utilisée dans des attaques. Trend Micro a trouvé qu'une publicité malicieuse tournant sur une vidéo en streaming sur Dailymotion.com, renvoyait directement vers des pages contenant le kit d'exploit Angler. Un autre kit d'exploit, Hanjuan, aurait également été utilisé par des pirates dans le cadre de cette faille.
De nombreux sites web ne sont pas au courant qu'ils font tourner des annonces publicitaires malveillantes. Elles sont distribuées par des sociétés de publicité en ligne qui, pour diverses raisons, ne détectent pas toujours les contenus malveillants.