Adobe Flash finit l'année avec une importante mise à jour de sécurité. Dans cette fournée, 19 failles de sécurité sont bouchées, dont une déjà exploitée. Il est donc recommandé de se mettre à jour dès que possible.
Les annonces s'enchainent et se ressemblent pour Adobe qui vient de publier un nouveau bulletin de sécurité pour Flash et Air, accompagné d'une mise à jour dans les deux cas. Il y est question de pas moins de 19 failles critiques, dont une de type 0-day, c'est-à-dire qu'elle est déjà exploitée au moment où l'éditeur propose le correctif.
Concernant cette dernière (identifiée sous le numéro CVE-2015-8651), la société précise qu'elle a connaissance d'au moins un rapport indiquant qu'elle est d'ores et déjà utilisée dans « des attaques limitées et ciblées ». Il s'agit d'un dépassement d'entier qui permet ensuite de prendre le contrôle à distance de la machine. Pour le reste, Adobe n'est pas très bavard sur les détails, mais les conséquences peuvent être fâcheuses puisqu'il est toujours question d'exécuter sur code à distance.
Les versions de Flash inférieures à la 20.0.235 sont touchées (que ce soit sur Windows, OS X, Linux, Chrome OS, Internet Explorer 10/11, Edge et Chrome). Dans tous les cas, il faut passer à la mouture 20.0.0.267 pour combler les brèches (11.2.202.559 pour Linux). Concernant la branche 18.x qui bénéficie d'un support étendu, la mise à jour porte le numéro de version 18.0.0.324, tandis que pour Adobe Air (Windows, OS X, Android et iOS), elle est estampillée 20.0.233.
Comme toujours en pareille situation, il est donc recommandé de se mettre à jour. Vous pouvez vérifier la version de Flash installée sur votre machine en vous rendant sur cette page.
