Première publication le 16 mars 2011
Nouvelle faille « zero day » dans Flash Player et Adobe Reader
Adobe a lancé un bulletin de sécurité concernant son populaire plug-in Flash ainsi que son lecteur Adobe Reader. Les versions 10.2 et antérieures de Flash ainsi que le composant Authplay.dll présent dans Reader seraient victimes d’une faille zero day (contre laquelle il n’existe donc encore aucun correctif) qui permet à un attaquant de prendre le contrôle d’une machine à la suite d’un plantage de l’application. Plusieurs attaques profitant de ce problème de sécurité seraient déjà en cours. D’après le Cert américain, elles prennent la forme d’un fichier SWF malveillant à l’intérieur d’un fichier Excel, envoyé par e-mail.
La vulnérabilité concerne l’ensemble des plates-formes sur lesquelles Flash et Acrobat sont disponibles, qu’il s’agisse de Windows, Mac OS ou Android. La version de Flash intégrée à Chrome est également concernée ; Google a publié une mise à jour mineure de son navigateur concernant Flash il y a quelques heures, mais cela ne semble pas être un correctif de la faille.
Adobe prévoit un correctif avant le 21 mars prochain. En attendant, mieux vaut être prudent lors de l’ouverture de pièces jointes au format Excel. L’US-Cert recommande par ailleurs notamment de désactiver Flash ainsi que le javascript dans Acrobat Reader et d’empêcher la lecture de PDF dans le navigateur afin d’éviter tout risque. La firme de sécurité Kaspersky Labs précise toutefois qu’il leur a été impossible de faire fonctionner cet exploit dans Windows 7 : seul XP serait exposé aux attaques recensées pour le moment. Mais de nouveaux logiciels malveillants profitant de cette faille pourraient s’attaquer à d’autres OS.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.