Adobe Systems Inc. exhorte les utilisateurs de son Lecteur Flash logiciel pour passer à une version plus récente publiée aujourd’hui. La société avertit qu’un exploit ciblant une vulnérabilité de sécurité Flash auparavant inconnue et critique existe dans la nature, et que cette faille permet aux attaquants de prendre le contrôle total des systèmes affectés.
Les dernières versions qui incluent le correctif de cette faille (CVE-2014-0497) sont répertoriées par système d’exploitation dans le tableau ci-dessous.
La mise à jour Flash amène le lecteur multimédia à version 12.0.0.44 pour une majorité d’utilisateurs sur les fenêtres et Mac OS X. Ce lien vous dira quelle version de Flash votre navigateur a installée. IE10/IE11 et Chrome doivent mettre à jour automatiquement leurs versions de Flash pour version 12.0.0.44. Si votre version de Flash sur Chrome (sur Windows, Mac ou Linux) n’est pas encore mis à jour, vous devrez peut-être simplement fermer et redémarrer le navigateur. La version de Chrome qui inclut ce correctif est 32.0.1700.107 pour Windows, Mac et Linux (pour connaître la version de Chrome dont vous disposez, cliquez sur les barres empilées à droite de la barre d’adresse et sélectionnez « À propos de Google Chrome » dans le menu déroulant).
Les versions les plus récentes de Flash sont disponibles sur le Centre de téléchargement Adobe, mais méfiez-vous des modules complémentaires potentiellement indésirables, comme McAfee Security Scan). Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer devront appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opera, par exemple).
Adobe n’a pas inclus beaucoup de détails dans son avis sur la nature de l’attaque à l’origine de cette mise à jour, si ce n’est pour créditer deux chercheurs de KasperskyLab pour signaler la vulnérabilité. Ainsi, ce défaut mai être lié à ce billet de blog du 3 février par Kaspersky, qui fait référence à Adobe Flash dans le contexte d’une longue campagne de cyberespionnage que Kaspersky a surnommée « The Mask » ; la société de sécurité dit qu’elle prévoit de publier plus de détails sur cette campagne à son sommet des analystes la semaine prochaine.