Une nouvelle faille de sécurité « 0-day » dans Flash vient d'être dévoilée par TrendMicro, avant d'être reprise dans un bulletin de sécurité d'Adobe. La dernière mouture 16.0.0.296 est concernée, ainsi que les précédentes pour OS X et Windows. Les conséquences peuvent être fâcheuses puisqu'il est question de prise de contrôle de la machine à distance.
Depuis plusieurs jours maintenant, l'actualité autour de Flash Player d'Adobe est relativement chargée. Google a en effet annoncé qu'il passait à la balise vidéo HTML5 par défaut pour YouTube, tandis qu'une faille critique était dévoilée dans Flash en version 16.0.0.287 et antérieures. Le 24 janvier, une mise à jour estampillée 16.0.0.296 était publiée afin de combler la brèche en question. Problème, TrendMicro indique que cette dernière dispose également d'une faille de type « 0-day », c'est-à-dire qu'elle est d'ores et déjà exploitée.
Dans un bulletin d'alerte repris sur son site, Adobe confirme la présence d'une brèche, critique cette fois encore, qui pourrait provoquer un crash et ensuite permettre à un pirate de prendre le contrôle de la machine à distance. Windows 8.1 et toutes les versions précédentes sont concernés.
Trend Micro explique pour sa part que, selon les données qui sont en sa possession, « des visiteurs de Dailymotion sont redirigés vers une série de sites qui conduisent finalement à une URL piégée [NDLR : avec un fichier .swf] afin d'exploiter la faille ». La société spécialisée dans la sécurité ajoute qu'il « est important de préciser que l'infection se produit automatiquement puisque les publicités sont conçues afin d'être directement chargées lors d'une visite ». Elle ajoute en outre qu'il est « probable que l'infection ne soit pas limitée au site de Dailymotion puisqu'elle est transmise via la publicité et non pas par le site ».
Comme toujours en pareille situation, les recommandations sont simples : désactiver Flash en attendant qu'une mise à jour soit disponible. Adobe prévoit de la mettre en ligne cette semaine, sans plus de précision pour le moment. De notre côté, nous avons contacté Dailymotion afin d'avoir de plus amples informations et nous mettrons cette actualité à jour en fonction des retours.
