Adobe a publié aujourd’hui une mise à jour logicielle hors bande pour corriger les failles de sécurité dangereuses dans son Lecteur Flash produits, dont au moins un qui est activement exploité. Des correctifs sont disponibles pour les versions de Flash sur les fenêtres, Mac, Linux, Solaris et Android systèmes d’exploitation.
Adobe a déclaré que l’un des bogues, un script intersite faille, est exploitée à l’état sauvage dans des attaques ciblées pour inciter les utilisateurs à cliquer sur un lien malveillant fourni dans un message électronique. Pour le moment, il n’y a pas beaucoup plus d’informations sur cette vulnérabilité (autre que les crédits Adobe Google en le signalant). Cela pourrait bientôt changer si des nouvelles commencent à faire surface sur les organisations ciblées à l’aide de cette faille.
Selon Adobe : « Ce problème universel de script intersite pourrait être utilisé pour prendre des mesures au nom d’un utilisateur sur n’importe quel site Web ou fournisseur de messagerie Web si l’utilisateur visite un site Web malveillant. »
Cette mise à jour s’applique à Flash Player 10.3.183.7 et versions antérieures sur les systèmes Windows, Mac, Linux et Solaris, et Flash 10.3.186.6 Pour Android. Le bulletin d’Adobe indique que la société corrige au moins six failles de sécurité différentes dans cette mise à jour. La dernière version pour les appareils Android est 10.3.186.7; pour tous les autres c’est 10.3.183.10.
Pour savoir quelle version de Flash vous avez, visitez cette page. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose que Internet Explorer devra appliquer la mise à jour Flash deux fois, une fois avec IE et une autre fois avec l’autre navigateur (Google Chrome les utilisateurs doivent déjà la dernière version de Flash). Pour éviter d’utiliser l’ennuyeux gestionnaire de téléchargement d’Adobe, les utilisateurs d’IE peuvent récupérer la dernière mise à jour directement à partir de ce lien; le lien direct pour les navigateurs non IE est ici.