Adobe recommande à tous les utilisateurs de Flash d’effectuer la mise à jour de leur module pour colmater un total de 24 failles critiques.
Encore une fois, d’importantes vulnérabilités ont récemment été découvertes dans le lecteur Flash intégré à la majorité des navigateurs web, tant sous Windows que OS X et Linux. Non sans rappeler une autre mise à jour publiée par Adobe en mars dernier, celle-ci vient notamment corriger une faille permettant à un attaquant de distribuer un raçongiciel ayant pour effet de restreindre l’accès à vos documents.
C’est à se demander s’il ne serait pas plus judicieux de simplement retirer Flash de vos extensions.
Oui, c’est à se demander s’il ne serait pas plus judicieux de simplement retirer Flash de vos extensions.
Adobe a ainsi déployé une nouvelle mise à jour de Flash. La version sécuritaire du module est 21.0.0.213 sous Windows et OS X, et 11.2.202.616 sous Linux.
Si vous utilisez Chrome sur quelque système que ce soit, ou Edge ou Internet Explorer sous Windows 8.1 ou Windows 10, sachez que le lecteur de Flash est mis à jour automatiquement par le biais des mécanismes de mises à jour intégrés à ces navigateurs.
Un lot de 22 vulnérabilités a été observé dans les versions 21.0.0.197 et antérieurs du module sous Windows et OS X, et les versions 11.2.202.577 et antérieures sous Linux. En exploitant l’une de ses failles, un pirate peut ainsi provoquer l’exécution de code à distance sur l’ordinateur où le module vulnérable est installé. Les deux autres failles permettent de contourner les mesures de sécurité mises en place et le système conçu pour placer de façon aléatoire les zones de données dans la mémoire virtuelle – une technique servant justement à restreindre l’exploitation du module par un attaquant.
La plus importante faille, identifiée par le code de suivi CVE-2016-1019, est décrite par la firme de sécurité Proofpoint comme ayant été au cœur de cyberattaques qui ont infecté plusieurs systèmes avec un rançongiciel depuis le 31 mars dernier. Heureusement, cette faille affectait exclusivement les versions 20.0.0.306 et antérieures du module. La mise à jour déployée en mars dernier, 21.0.0.182, colmatait déjà avec ce succès cette vulnérabilité.
Si vous ne savez pas quelle version de Flash est installée actuellement sur votre ordinateur, Adobe a mis en ligne un outil permettant de connaître la procédure à suivre pour les utilisateurs qui n’auraient pas la plus récente version.