Adobe vient de publier en urgence une mise à jour pour le lecteur Flash. Elle concerne aussi bien Windows qu’OS X, en passant par Linux et Android. Elle colmate deux brèches critiques qui sont déjà activement exploitées.
Adobe corrige donc deux failles dans son lecteur Flash. La première, estampillée CVE-2013-0634, peut être exploitée sous OS X via Safari, grâce à une page spécialement conçue pour accueillir un contenu Flash malveillant. La deuxième peut être utilisée au sein de documents Word corrompus renfermant, là encore, un contenu Flash malveillant.
À noter que si seuls Windows et OS X semblent touchés actuellement, les failles existent également dans les versions Linux et Android du lecteur. Les mises à jour sont donc proposées pour l’ensemble des plateformes.
La dernière version de Flash peut être récupérée depuis le site officiel.
À noter que l’annonce de ces failles a été précédée hier d’un prochain ajout important dans le lecteur Flash. Adobe a en effet indique qu’une évolution future du composant viendra court-circuiter justement les exploitations par les documents Office. Pour les moutures 2007 (PC) et 2008 (OS X) et antérieures, un avertissement permettra à l’utilisateur de savoir qu’un contenu Flash est dans un document. Une question sera alors posée à l’utilisateur pour lui demander une confirmation de l’exécution dudit contenu.
Dans les versions 2010, 2011 et 2013, cet avertissement ne sera pas de mise. En effet, les documents provenant d’Internet sont ouverts en mode lecture seule. Word, Excel et autres demandent ensuite au sein d’une barre jaune si l’utilisateur souhaite modifier le document. Tant que cette confirmation n’est pas donnée, le contenu dynamique, tel que les macros et les éléments Flash, n'est pas exécuté.
Commentaires (27)
#1
J’ai plus de faille: je n’ai pas installé flash.
" />
#2
Et dire que ce truc ne sert que sur YT et consorts …
Edit > Toujours pas moyen de trovuer des version “offline” pour télédéploiement ?
#3
Quoi qu’il en soit flash = failles découvertes, failles corrigées.
Quoi que les acharnés du libre en pense, Flash est loin loin très loin de la qualité de suivi d’autres plugins….
#4
#5
#6
#7
#8
#9
Allez, il n’y a pas de raison que je ne poste pas mes liens aussi depuis fpdownload.adobe.com car il faut bien se distinguer des autres " />
install_flash_player_ax.exe
install_flash_player.exe
#10
#11
#12
De toute façon pour JAVA, même si on en a besoin, peut tourner en “portable” (installer dans une box, puis copier coller le rép d’installe), pas besoin de l’installer (et donc pas de plugins, pas de pubs à l’installe, etc).
Pratique pour lancer des jeux ou programmes (comme Minecraft), ca peut rester sur clé USB.
#13
#14
about:config
plugin:click_to_play true
" />
#15
#16
Je suggère le mode de fonctionnement “pince à linge” :
Firefox + flash désactivé + openwith
De cette façon, je ne consulte un site avec du Flash que lorsque j’en ai VRAIMENT le besoin.
#17
#18
#19
#20
#21
#22
Le jour où on exterminera le plugin Java et Flash beaucoup de vilains pirates seront au chômage " />
#23
#24
#25
#26
#27