Trend Micro, leader mondial des logiciels et solutions de sécurité, a identifié ce week-end une nouvelle vulnérabilité zero-day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette vulnérabilité expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.
Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows, version 16.0.0.296. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ». La vulnérabilité zero-day est connue sous la référence CVE-2015-0313.
L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.
« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching* », commente Loïc Guézo, Evangéliste Sécurité de l’information pour l’Europe du Sud chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »
Trend Micro recommande par ailleurs aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. A noter que le navigateur Mozilla Firefox désactive automatiquement ce type d’extension lorsqu’une vulnérabilité est découverte.
Google ayant récemment décidé d’abandonner Flash Player pour YouTube, lui préférant HTML5, on imagine facilement que Dailymotion pourrait bien lui emboîter le pas après cet épisode…