Adobe a averti jeudi que les attaquants exploitent une faille de sécurité jusque-là inconnue dans son Lecteur Flash logiciel pour s’introduire Microsoft Windows des ordinateurs. Adobe a déclaré qu’il prévoyait de publier un correctif pour la faille dans les prochains jours, mais le moment est peut-être venu de vérifier votre exposition à ce programme toujours omniprésent et de renforcer vos défenses.
Adobe a déclaré une vulnérabilité critique (CVE-2018-4878) existe dans Adobe Flash Player 28.0.0.137 et versions antérieures. Une exploitation réussie pourrait permettre à un attaquant de prendre le contrôle du système affecté.
La société de logiciels avertit qu’un exploit pour la faille est utilisé dans la nature et que, jusqu’à présent, les attaques tirent parti Microsoft Office documents contenant du contenu Flash malveillant intégré. Adobe a annoncé son intention de remédier à cette vulnérabilité dans une version prévue pour la semaine du 5 février.
Selon Avis d’AdobebÀ partir de Flash Player 27, les administrateurs ont la possibilité de modifier le comportement de Flash Player lorsqu’il s’exécute sur Internet Explorer sous Windows 7 et versions antérieures en invitant l’utilisateur avant de lire du contenu Flash. Un guide sur la façon de le faire est ici (PDF). Les administrateurs peuvent également envisager de mettre en œuvre Vue protégée pour Office. La vue protégée ouvre un fichier marqué comme potentiellement dangereux en mode lecture seule.
J’espère que la plupart des lecteurs ici ont suivi mon conseil de longue date pour désactiver ou au moins entraver Flash, un composant bogué et non sécurisé qui est néanmoins livré par défaut avec Google Chrome et Internet Explorer. Vous trouverez plus d’informations sur cette approche (ainsi que des solutions légèrement moins radicales) dans Un mois sans Adobe Flash Player. La version courte est que vous pouvez probablement vous débrouiller sans Flash installé et ne pas le manquer du tout.
Pour les lecteurs qui ne veulent toujours pas couper le cordon Flash, il existe des demi-mesures qui fonctionnent presque aussi bien. Heureusement, désactiver Flash dans Chrome est assez simple. Collez « chrome://settings/content » dans une barre de navigateur Chrome, puis sélectionnez « Flash » dans la liste des éléments. Par défaut, il doit être défini sur « Demander d’abord » avant d’exécuter Flash, bien que les utilisateurs puissent également désactiver complètement Flash ici ou mettre sur liste blanche et sur liste noire des sites spécifiques.
Par défaut, MozillaFirefox sur les ordinateurs Windows avec Flash installé, exécute Flash dans un « mode protégé», qui invite l’utilisateur à décider s’il souhaite activer le plug-in avant que le contenu Flash ne s’exécute sur un site Web.
Une autre alternative, peut-être moins élégante, à l’abandon de Flash en gros consiste à le garder installé dans un navigateur que vous n’utilisez pas normalement, puis à n’utiliser ce navigateur que sur les sites qui nécessitent Flash.