Flash vient de mettre en ligne une nouvelle version de son lecteur multimédia. Estampillée 14.0.0.145, elle corrige des failles jugées critiques, permettant notamment d'exécuter du code à distance afin de récupérer des informations personnelles. Il est donc important de rapidement se mettre à jour et Chrome le fait d'ailleurs automatiquement en tâche de fond.
Flash devient trop bavard face à un fichier SWF spécialement conçu
Dans le petit monde de la sécurité informatique, le « traumatisme » Heartbleed est toujours présent. Si ce n'est évidemment pas la seule faille de sécurité, elle était exceptionnelle à plus d'un titre : facilité de mise en œuvre, nombre de machines touchées et le temps avant qu'elle ne soit découverte. Aujourd'hui, c'est au tour de Flash de faire face à une importante faille de sécurité, bien évidemment corrigée via la dernière mise à jour du lecteur d'Adobe.
Comme Heartbleed, c'est l'équipe de recherche en sécurité de Google qui est à l'origine de cette découverte. Michele Spagnuolo, ingénieur italien chez le géant du web, donne d'ailleurs de nombreux détails sur son blog. Pour faire simple, lorsqu'un lecteur Flash exécute un fichier SWF spécialement conçu pour exploiter la faille, un pirate peut récupérer des informations sensibles en exploitant les cookies présents sur la machine (voir cette présentation).
Un correctif est disponible, les sites se mettent à jour
Informé du problème, Adobe a donc mis en ligne une nouvelle version 14.0.0.145 de Flash pour Windows et OS X, ainsi qu'une mouture 11.2.202.394 pour Linux. Il est donc plus que recommandé de l'installer. Notez que Google a d'ores et déjà mis à jour son navigateur Chrome, et ce, de manière silencieuse. Vous êtes également plusieurs à nous préciser que c'est aussi le cas pour Firefox 30. Dans les autres cas, il faudra le faire manuellement.
Mais, comme le précise Michele Spagnuolo, il est également important que les sites se mettent à jour afin d'empêcher la récupération d'informations via cette technique. Plusieurs domaines de Google étaient ainsi vulnérables (accounts.google.com, maps.google.com, YouTube, etc.) ainsi que d'autres sites comme eBay, Instagram, Twitter, Tumblr, etc. Étant à l'origine de la découverte, Google a bien évidemment corrigé ses sites afin d'éviter des fuites de données, tout comme Twitter et Tumblr.
