Adobe Flash : une faille zéro jour comblée
Adobe a publié un patch concernant une vulnérabilité zero day dans Flash Player. Cette faille pouvait être exploitée par des pirates avec des documents Microsoft Word et Excel malveillants.
Adobe avait reconnu cette faille en indiquant que des kits d'attaques étaient déjà en circulation. L'éditeur avait promis de corriger la faille avec une mise à jour d'urgence. Ce patch est le deuxième en moins de quatre semaines. La version de Flash Player 10.2.159.1 est disponible pour Windows, Mac, Linux et Solaris. On notera l'absence d'Android dans cette liste, le système d'exploitation mobile de Google qui gère également Flash. Un correctif spécifique sera délivré au plus tard la semaine du 25 avril, a déclaré Adobe.
L'éditeur doit dans la même semaine corriger Acrobat et Reader, outils pour la création et la lecture de PDF. La vulnérabilité trouvée dans Flash existe aussi dans Reader et de manière plus avancée dans Acrobat car le code peut s'immiscer dans des documents PDF. Les premières attaques se sont basées sur des pièces jointes Word malveillantes. Les pirates ont élargi leur campagne afin d'inclure des fichiers Excel corrompus, selon Mila Parkour, le chercheur indépendant en sécurité qui a signalé la faille dans Flash. Elle a suivi les attaques pendant plus d'une semaine et a publié des informations à leur sujet sur son blog Contagio Malware Dump. Elle a ainsi montré que les premiers documents Word portaient sur les lois antitrust chinoises ou sur le programme d'armement nucléaire japonais. Peu après, les documents étaient plus terre à terre en portant sur des plans de réorganisation de l'entreprise ou sur une mise à jour des listes de contacts professionnels.
Une origine chinoise ?
La spécialiste en sécurité a également réussi à tracer le serveur d'envoi des messages. Celui-ci est enregistré en Chine. Elle a par ailleurs constaté que certains des documents Word et Excel malveillants avait été initialement conçus en chinois.
Google a mis à jour son navigateur Chrome qui inclut une copie de Flash Player. Ce téléchargement rectifie non seulement le bug Adobe, mais aussi un trio de vulnérabilités critiques dans la technologie d'accélération matérielle au sein du navigateur. Comme Internet Explorer et Firefox, Chrome utilisent le processeur graphique (GPU) pour traiter certaines tâches. La firme de Mountain View considère habituellement comme « critiques » les failles que les attaquants pourraient utiliser pour contourner la « sandbox » du navigateur.
Les utilisateurs d'autres navigateurs peuvent télécharger la version corrigée de Flash Player à partir du site d'Adobe.
