[ad_1]

Adobe a publié aujourd’hui une importante mise à jour de sécurité pour son Lecteur Flash logiciel qui corrige une vulnérabilité déjà exploitée dans des attaques actives. Pour aggraver la menace, la société a déclaré qu’elle enquêtait sur des informations selon lesquelles des escrocs pourraient avoir développé un exploit distinct qui contourne les protections de cette dernière mise à jour.

flash cassé-unPremiers indicateurs d’un flash jour zéro la vulnérabilité est venue cette semaine dans un article de blog par Kaféine, un chercheur en sécurité renommé qui surveille de près les nouvelles innovations dans les «kits d’exploitation». Souvent appelés packs d’exploits, les kits d’exploits sont des outils logiciels automatisés qui aident les voleurs à piéger les sites piratés pour déployer du code malveillant.

Kafeine a écrit qu’un logiciel criminel populaire appelé le Kit d’exploitation de pêcheur à la ligne ciblait une vulnérabilité auparavant non documentée dans Flash qui semble fonctionner contre de nombreuses combinaisons différentes du Internet Explorer navigateur sur Microsoft Windows systèmes.

Les attaquants peuvent cibler les utilisateurs Windows et IE pour le moment, mais la vulnérabilité corrigée par cette mise à jour existe également dans les versions de Flash qui s’exécutent sur Mac et Linux ainsi que. La mise à jour Flash amène le lecteur multimédia à la version 16.0.0.287 sur les systèmes Mac et Windows, et 11.2.202.438 sur Linux.

Bien que les utilisateurs de Flash doivent absolument mettre à jour dès que possible, il semble que ce correctif ne corrige pas tous les trous de Flash pour lesquels les attaquants ont développé des exploits. Dans une déclaration Publié avec la mise à jour Flash aujourd’hui, Adobe a déclaré que son correctif corrige une vulnérabilité récemment découverte qui est activement exploitée, mais qu’il semble y avoir une autre attaque active que ce correctif ne résout pas.

« Adobe a connaissance de rapports selon lesquels un exploit pour CVE-2015-0310 existe dans la nature, qui est utilisé dans les attaques contre les anciennes versions de Flash Player », a déclaré Adobe. « De plus, nous enquêtons sur des rapports selon lesquels un exploit distinct pour Flash Player 16.0.0.287 et versions antérieures existe également dans la nature. »

Pour voir quelle version de Flash vous avez installée, vérifiez ce lien. IE10/IE11 sur Windows 8.x et Chrome devraient mettre à jour automatiquement leurs versions de Flash, bien qu’au moment d’écrire ces lignes, il semble que la dernière version de Chrome (40.0.2214.91) soit toujours en cours d’exécution v.16.0.0.257.

Les versions les plus récentes de Flash sont disponibles sur le Flash page d’accueil, mais méfiez-vous des modules complémentaires potentiellement indésirables, tels que McAfee Security Scan. Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici.

Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer peuvent avoir besoin d’appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opera, par exemple).

J’attends avec impatience le jour où beaucoup moins de sites auront besoin de Flash Player pour afficher le contenu, et s’appuieront plutôt sur HTML5 pour le rendu du contenu vidéo. Pour l’instant, il n’est probablement pas pratique pour la plupart des utilisateurs de supprimer complètement Flash, mais il existe des options intermédiaires pour limiter le rendu automatique du contenu Flash dans le navigateur. Mon préféré est le click-to-play, qui est une fonctionnalité disponible pour la plupart des navigateurs (sauf IE, malheureusement) qui bloque le chargement du contenu Flash par défaut, remplaçant le contenu des sites Web par une case vide. Avec click-to-play, les utilisateurs qui souhaitent voir le contenu bloqué n’ont qu’à cliquer sur les cases pour activer le contenu Flash à l’intérieur (click-to-play bloque également le chargement des applets Java par défaut).

Les utilisateurs de Windows doivent également profiter pleinement de la Boîte à outils d’expérience d’atténuation améliorée (EMET), un outil gratuit de Microsoft qui peut aider les utilisateurs de Windows à renforcer la sécurité des applications tierces.

Mise à jour à 23h05 HE : Adobe vient de publier un bulletin confirmant que ce dernier correctif ne protège pas les utilisateurs de Flash contre toutes les attaques actives actuelles. La société indique qu’elle prévoit de publier une mise à jour la semaine du 26 janvier pour résoudre cet autre problème de sécurité.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *