Adobe vient de publier une mise à jour critique pour Flash. Deux douzaines de failles y sont corrigées, dont une particulièrement grave et déjà exploitée par les pirates.
Même si l’actualité autour de Flash s’est calmée avec le temps, la technologie d’Adobe revient parfois devant la scène pour des problèmes de sécurité. Elle a été de nombreuses fois affectée par des soucis de ce type, l’éditeur n’étant venu que tardivement sur des méthodes de développement plus strictes. Même si la situation s’est globalement améliorée, elle rencontre encore parfois de sérieux impairs.
Une faille critique déjà exploitée
C’est précisément le cas avec la publication d’une mise à jour corrigeant pas moins de 23 failles, dont plusieurs sont critiques. L’une d’entre elles, estampillée CVE-2016-1010, est déjà exploitée dans la nature et revêt donc un certain caractère d’urgence. Selon Adobe, les rapports à ce sujet font état d’attaques « limitées et ciblées », suggérant que la brèche est utilisée dans le cadre de scénarios soigneusement préparés.
La faille, découverte par Anton Ivanov de Kaspersky Lab, repose sur un dépassement d’entier. Si un pirate parvient à l’exploiter, il peut faire exécuter un code arbitraire. De là, on peut imaginer le type de scénario qu’Adobe aborde dans son bulletin : un email ou n’importe quel message renvoyant vers un site, où l’une des pages contient un contenu Flash spécialement conçu pour tirer parti de la vulnérabilité. De là, le déclenchement d’un code pourrait servir à installer un malware particulier et finalement à prendre le contrôle de la machine.
Une voie royale pour les pirates
Ce type de brèche est du « pain béni » pour les pirates. Le lecteur Flash n’obéit pas en effet forcément à l’ensemble des mesures de protection classiques d’un navigateur. Si beaucoup souhaitent sa disparition aujourd’hui, c’est qu’il constitue un code binaire sur lequel l’éditeur d’un navigateur n’a pas prise. En dépit des multiples protections mises en place par Chrome, Firefox, Internet Explorer ou plus récemment Edge, Flash constitue une porte d’accès supplémentaire, comme on a pu le voir à plusieurs reprises dans les concours Pwn2Own.
Quoi qu’il en soit, Adobe recommande de mettre à jour Flash aussi rapidement que possible. Sous Windows et OS X, la dernière révision passe ainsi à la 21.0.0.182, tandis que sur Linux, il s’agit de la 11.2.202.577. Chrome, Edge et Internet Explorer 10/11 disposent d’une intégration spéciale de Flash et sont donc mis à jour automatiquement pour récupérer la dernière mouture.
À quand un contrôle total sur les navigateurs intégrant Flash ?
On rappellera d’ailleurs que ces navigateurs fournissent un curieux paradoxe autour de Flash. Beaucoup aujourd’hui souhaitent désinstaller le lecteur puisque les contenus se sont raréfiés, notamment sur les sites proposant du streaming vidéo. Mais si l’on utilise un navigateur de Google ou de Microsoft, le lecteur Flash est obligatoirement présent, même s’il peut être désactivé. Intégré de la sorte pour des raisons de commodité et de sécurité, le lecteur devrait désormais disposer d’une option de suppression complète.