Adobe a publié une mise à jour d’urgence pour remédier à une faille de sécurité critique dans son Lecteur Flash plugin de navigateur qui est activement exploité pour déployer des logiciels malveillants. Si Flash est installé — et si vous utilisez Google Chrome ou une version récente de Microsoft Windows vous le faites – il est temps une fois de plus de vous assurer que votre copie de Flash est soit corrigée, entravée ou supprimée.
Dans un avis publié aujourd’hui, Adobe a déclaré être au courant d’un rapport selon lequel un exploit pour la faille Flash jusqu’alors inconnue — CVE-2018-5002 – existe dans la nature et « est utilisé dans des attaques ciblées limitées contre les utilisateurs de Windows. Ces attaques tirent parti Microsoft Office documents contenant du contenu Flash Player malveillant intégré distribué par e-mail.
Les versions vulnérables de Flash incluent v. 29.0.0.171 et plus tôt. La version de Flash publiée aujourd’hui amène le programme à v.30.0.0.113 Pour les fenêtres, Mac, Linux et Système d’exploitation Chrome. Vérifier ce lien pour détecter la présence de Flash dans votre navigateur et le numéro de version installé.
Tous les deux Internet Explorer/Bord au Windows 10 et Chrome devrait automatiquement inviter les utilisateurs à mettre à jour Flash lorsque de nouvelles versions sont disponibles. Pour le moment, cependant, je ne vois encore aucun signe indiquant que Microsoft ou Google ont publié de nouvelles mises à jour pour corriger la faille Flash. Je mettrai à jour ce post si cela change. (Mise à jour : 8 juin, 11 h 01 HE : On dirait que les fabricants de navigateurs commencent à pousser cela. Vous devrez peut-être encore redémarrer votre navigateur pour que la mise à jour prenne effet.)
Adobe crédite une société de sécurité chinoise Qihoo 360 avec le signalement de la faille Flash zero-day. Qihoo a déclaré dans un article de blog que l’exploit était utilisé pour cibler des individus et des entreprises à Doha, au Qatar, et qu’il serait lié à une campagne de cyberespionnage soutenue par un État-nation qui utilise des documents Office piégés pour déployer des logiciels malveillants.
En février 2018, Adobe a corrigé une autre faille Flash zero-day qui était lié aux attaques de cyberespionnage lancées par des pirates nord-coréens.
J’espère que la plupart des lecteurs ici ont suivi mon conseil de longue date pour désactiver ou au moins entraver Flash, un composant bogué et non sécurisé qui est néanmoins livré par défaut avec Google Chrome et Internet Explorer. Vous trouverez plus d’informations sur cette approche (ainsi que des solutions légèrement moins radicales) dans Un mois sans Adobe Flash Player. La version courte est que vous pouvez probablement vous débrouiller sans Flash installé et ne pas le manquer du tout.
Pour les lecteurs qui ne veulent toujours pas couper le cordon Flash, il existe des demi-mesures qui fonctionnent presque aussi bien. Heureusement, désactiver Flash dans Chrome est assez simple. Collez « chrome://settings/content » dans une barre de navigateur Chrome, puis sélectionnez « Flash » dans la liste des éléments. Par défaut, il doit être défini sur « Demander d’abord » avant d’exécuter Flash, bien que les utilisateurs puissent également désactiver complètement Flash ici ou mettre sur liste blanche/noire des sites spécifiques.
Par défaut, MozillaFirefox sur les ordinateurs Windows avec Flash installé, exécute Flash dans un « mode protégé», qui invite l’utilisateur à décider s’il souhaite activer le plug-in avant que le contenu Flash ne s’exécute sur un site Web.
Une autre alternative, peut-être moins élégante, à l’abandon de Flash en gros consiste à le garder installé dans un navigateur que vous n’utilisez pas normalement, puis à n’utiliser ce navigateur que sur les sites qui nécessitent Flash.
Les administrateurs ont la possibilité de modifier le comportement de Flash Player lorsqu’il s’exécute sur Internet Explorer sur Windows 7 et ci-dessous en demandant à l’utilisateur avant de lire le contenu Flash. Un guide sur la façon de le faire est ici (PDF). Les administrateurs peuvent également envisager de mettre en œuvre Vue protégée pour Office. La vue protégée ouvre un fichier marqué comme potentiellement dangereux en mode lecture seule.