Adobe corrige en urgence deux failles critiques dans son lecteur Flash

Adobe vient de publier en urgence une mise à jour pour le lecteur Flash. Elle concerne aussi bien Windows qu’OS X, en passant par Linux et Android. Elle colmate deux brèches critiques qui sont déjà activement exploitées.

Adobe corrige donc deux failles dans son lecteur Flash. La première, estampillée CVE-2013-0634, peut être exploitée sous OS X via Safari, grâce à une page spécialement conçue pour accueillir un contenu Flash malveillant. La deuxième peut être utilisée au sein de documents Word corrompus renfermant, là encore, un contenu Flash malveillant.

À noter que si seuls Windows et OS X semblent touchés actuellement, les failles existent également dans les versions Linux et Android du lecteur. Les mises à jour sont donc proposées pour l’ensemble des plateformes.

La dernière version de Flash peut être récupérée depuis le site officiel.

À noter que l’annonce de ces failles a été précédée hier d’un prochain ajout important dans le lecteur Flash. Adobe a en effet indique qu’une évolution future du composant viendra court-circuiter justement les exploitations par les documents Office. Pour les moutures 2007 (PC) et 2008 (OS X) et antérieures, un avertissement permettra à l’utilisateur de savoir qu’un contenu Flash est dans un document. Une question sera alors posée à l’utilisateur pour lui demander une confirmation de l’exécution dudit contenu.

Dans les versions 2010, 2011 et 2013, cet avertissement ne sera pas de mise. En effet, les documents provenant d’Internet sont ouverts en mode lecture seule. Word, Excel et autres demandent ensuite au sein d’une barre jaune si l’utilisateur souhaite modifier le document. Tant que cette confirmation n’est pas donnée, le contenu dynamique, tel que les macros et les éléments Flash, n'est pas exécuté.