Adobe vient d’annoncer officiellement qu’une faille se trouvait dans son lecteur Flash. Cette faille, bien que n’ayant apparemment pas subi d’exploitation, est assez sérieuse pour qu’Adobe publie un avertissement.

La faille concerne le Flash Remoting qui peut être utilisé pour envoyer une commande à un serveur ColdFusion (logiciel acquis auprès de Macromedia) afin de provoquer une boucle infinie qui ne peut en aucun cas se finir seule. Un utilisateur malveillant pourrait alors profiter de l’état de faiblesse du serveur pour exécuter un code arbitraire.

Selon les détails fournis par Adobe dans son bulletin de sécurité, certains modèles CFML (ColdFusion Markup Language) fonctionnant en dehors de la sandbox (« bac à sable », espace sécurisé pour les applications utilisateurs) peuvent faire appel à des composants qui eux fonctionnent dans la sandbox. Ces appels, lorsqu’ils sont directs et ne demandent aucun retour de résultat, ne devraient laisser aucune porte ouverte, ce qui n’est manifestement pas le cas.

L’exploitation de la faille pourrait être faite via un fichier SWF que le navigateur (n’importe lequel) pourrait lire via le Flash Player. Tous les utilisateurs qui le peuvent devraient selon Adobe mettre à jour leur lecteur Flash vers la récente version 9. Les utilisateurs qui pour une raison ou une autre ne le peuvent pas sont encouragés à visiter cette page (en anglais).