L’actualité autour de Flash se fait moindre avec le temps, mais Adobe continue de corriger les failles de sécurité découvertes. Dans un bulletin publié lundi soir, la firme colmate ainsi quelque 23 brèches, dont plusieurs sont décrites comme critiques. Évidemment, la mise à jour générale est chaudement recommandée.
Adobe colmate donc 23 failles de sécurité, dont une partie est critique. Cette seule raison doit sonner le tocsin auprès des utilisateurs, clairement invités à mettre à jour aussi rapidement que possible, quand bien même la présence des contenus Flash diminue avec le temps. Toutes les versions 18 et antérieures de Flash et Air pour Windows, OS X, Chrome OS, Android ou encore les moutures intégrées dans Chrome, Internet Explorer et Edge sont vulnérables.
Les solutions sont en fait déjà toutes disponibles. Chrome a par exemple été mis à jour, et le correctif adapté est déjà proposé par Windows Update dans les versions du système concernées (à partir de Windows 8). Adobe propose évidemment des téléchargements de son côté pour ceux qui utilisent un navigateur sans plugin intégré, notamment Firefox ou une version plus ancienne d’Internet Explorer. Notez cependant que les actuels testeurs de Windows 10 (programme Insider) n’ont pas la mise à jour à disposition. Si on vérifie la version installée de Flash dans Edge, c’est bien la mouture 18.0.0.232, vulnérable, qui est présente.
La dangerosité des failles est en tout cas certaine. Sur les 23 failles dont il est question, 18 sont clairement critiques et permettent une exploitation à distance. Elles couvrent plusieurs types de problèmes, dont le dépassement de mémoire tampon, la corruption de mémoire, le dépassement de pile ou encore la corruption de cette dernière.
Dans un contexte où la technologie elle-même devient moins utilisée, notamment pour la vidéo avec la diffusion des balises HTML5, certains aimeraient pouvoir sans doute se débarrasser complètement du lecteur. Google et Microsoft ont joué la carte de la sécurité en prenant les devants et en intégrant le plugin à leurs conditions, dans un espace mémoire isolé. La contrepartie est qu’il n’est pas possible de le supprimer. Une situation qui évoluera sans doute à l’avenir.
