Adobe Flash Player : Vulnérabilité critique suivie d’une mise à jour d’urgence

2
105

Adobe a déployé une mise à jour d’urgence hors cycle afin de corriger une vulnérabilité critique exploitée par les cybercriminels permettant l’exécution de code à distance au sein de son populaire Flash Player.

La vulnérabilité critique (CVE 2014-8439) dans Flash Player pour Windows, Mac et Linux a été atténuée y a plus d’un mois via un correctif le 14 octobre 2014, mais un chercheur français nommé Kafeine a trouvé des exploits “0-Day” dans les kits d’exploitation pirates Angler et Nuclear Exploit Kit :

La vulnérabilité est exploitée via une attaque de masse aveugle et il n’y a aucun doute à ce sujet. L’équipe de pirates informatiques derrière Angler est vraiment impressionnante“, a déclaré Kafeine dans un billet de blog.

La vulnérabilité permet à un attaquant d’exécuter du code arbitraire en raison d’une faiblesse dans la façon dont la mémoire est gérée (un pointeur). Un attaquant peut se servir d’un fichier Flash spécialement conçu pour exploiter la vulnérabilité, ce qui conduirait alors à l’exécution du code de l’attaquant dans le but de prendre le contrôle du système cible.

Adobe a évalué la vulnérabilité critique et a recommandé à tous les utilisateurs et administrateurs de mettre à jour dès que possible leurs logiciels sur Windows, Mac OS X et Linux vers la dernière version disponible :

Selon le bulletin de sécurité récent, Adobe a publié la dernière mise à jour pour son plugin Flash Player, la version 15.0.0.239 pour les utilisateurs Windows, la version 13.0.0.258 sous Mactintosh et la version 11.2.202.424 pour les utilisateurs de Linux.

Microsoft publiera bientôt des mises à jour de sécurité pour Internet Explorer 10 et 11 et Google patchera son navigateur Chrome pour fixer le pluginFlash intégré dedans. Pour connaître la version de Flash Player vous utilisez actuellement, visitez la page “À propos de Flash Player”. Les utilisateurs peuvent mettre à jour Adobe Flash Player via le Download Center officiel ou via le mécanisme de mise à jour automatique.

Les commentaires sont fermés.