Microsoft corrige des failles dans le lecteur Flash pour Windows 8
Avant le week-end, Microsoft a procédé à la mise à jour du lecteur Flash dans Windows 8 afin de protéger les utilisateurs d'Internet Explorer 10 des attaques en cours depuis le début du mois de septembre.
Il y a un peu plus d'une semaine, Microsoft a finalement décidé de modifier sa position et de ne pas attendre fin octobre pour livrer un correctif pour Flash. Au contraire, l'éditeur a promis de mettre à jour le lecteur multimédia «dans un bref délai ». C'est à Microsoft, et non à Adobe, que revient la responsabilité de corriger le lecteur Flash dans Windows 8.
En effet, l'éditeur a voulu calquer IE10 sur Chrome de Google en intégrant le lecteur en natif dans le navigateur de son prochain système d'exploitation. Microsoft avait annoncé cette décision fin mai par la voix de Dean Hachamovitch, responsable d'IE chez Micrsoft. « La mise à jour de Flash via Windows Update va permettre de rendre l'application des patches de sécurité plus commode pour les utilisateurs », avait-il déclaré alors.
Mais l'entreprise de Redmond et ses développeurs ont eu un peu de mal à concrétiser cette mise en oeuvre. Ainsi, Adobe a livré au mois d'août une série de mises à jour de sécurité corrigeant huit vulnérabilités. Mais Windows 8 RTM, la finale du système d'exploitation livrée aux utilisateurs ce même mois, ne bénéficiait pas de ces correctifs. Et l'une des 8 vulnérabilités a été exploitée par des pirates, peut-être pendant plusieurs mois.
Un gang de hackers d'élite, connu pour chasser et exploiter les vulnérabilités non corrigées, figure parmi les pirates qui ont détourné les PC sous Windows présentant la faille. L'update de vendredi concerne les versions RTM de Windows 8 et la version bêta publique finale, Windows Preview Release 8. Les utilisateurs peuvent télécharger cette mise à jour gratuitement jusqu'au 31 janvier 2013, sa date d'expiration.
Des mises à jours Adobe calquées sur les Patch Tuesday
Nos confrères de Computerworld ont observé que la mise à jour faisait passer le lecteur Flash d'IE10 à la version 11.3.374.7 sur Windows 8 RTM. Adobe a aussi confirmé que cette édition contenait bien les correctifs pour les huit vulnérabilités qu'il avait patchées les 14 et 21 août derniers. Yunsun Wee, la directrice de l'équipe Trustworthy Computing de Microsoft, a également précisé que l'éditeur prendrait en charge toutes les futures mises à jour du lecteur Flash dans IE10 sous Windows 8.
« Pour les mises à jour du Player Flash, nous allons coordonner notre calendrier de sortie avec celui d'Adobe, sur la base trimestrielle établie par l'éditeur », a promis Yunsun Wee. La référence à un calendrier trimestriel est étrange. Car si Adobe a essayé de suivre - plus ou moins bien - un calendrier de mise à jour régulier pour son Reader, l'éditeur n'a jamais pris un quelconque engagement de ce genre pour son player Flash.
De fait, jusqu'ici, pendant l'année 2012, Adobe a livré 7 mises à jour pour Flash, une en février, deux en mars, une en mai, une en juin, et deux en août. Donc, si Adobe a décidé de suivre un calendrier trimestriel de livraison de correctif pour son player Flash, elle n'en a rien dit.
Yunsun Wee a également admis que Microsoft devrait fournir des mises à jours «hors calendrier », c'est à dire en plus des Patch Tuesday mensuels - de manière à ce que le player Flash dans IE10 et Windows 8 bénéficie des mêmes update que les plug-ins Flash livrés par Adobe pour les autres navigateurs.
« Si une menace exige de prendre des mesures en dehors du calendrier de mises à jour normal d'Adobe, ... nous livrerons des patchs supplémentaires, indépendamment de nos bulletins de sécurtié mensuels réguliers », a écrit vendredi la directrice de l'équipe Trustworthy Computing sur le blog du Security Response Center de Microsoft. Ces mises à jour hors calendrier de Flash pourraient rapidement faire nombre. Si Windows 8 avait été disponible dès le début de l'année 2012, au minimum, Microsoft aurait dû livrer les 4 correctifs d'urgence pour Flash en février, mars et août.
En plus, Microsoft aurait dû travailler dur pour que les quatre autres correctifs de Flash puissent être intégrés dans le prochain Patch Tuesday. Dans un cas, Flash a pu être mis à jour en même temps que le Patch Tuesday, mais dans les deux autres cas, Microsoft aurait eu seulement quatre jours pour se préparer. La quatrième mise à jour de Flash a été livrée huit jours avant le futur Patch Tuesday.
On peut trouver plus d'informations sur la mise à jour de Flash pour IE10 et Windows 8 dans l'avis de sécurité de Microsoft. Les utilisateurs de Windows 8 peuvent effectuer la mise à jour de Flash via le service Windows Update, et, pour les entreprises, via le service Windows Server Update Services (WSUS).
