Adobe : une faille critique 0-day dans Flash et Reader
Le X vous sauvera
Adobe a publié un bulletin d’information au sujet d’une faille critique découverte dans le lecteur Flash. La mauvaise nouvelle est double : non seulement les dernières versions sont concernées, mais la faille est déjà exploitée. Elle est donc de type 0-day.
Les versions concernées sont donc :
La faille est également présente dans les moutures 9.X et 10.X d’Adobe Reader. L’exploitation de la brèche passe en effet par l’ouverture d’un fichier SWF spécialement conçu et qui, une fois ouvert, permet l’exécution d’un code arbitraire et malveillant.
Au sujet de son Reader, Adobe fait toutefois un distinguo sur la version 10, lancée récemment. Elle dispose, dans sa mouture Windows, d’un mode isolé pour lequel l’éditeur avait d’ailleurs travaillé avec Microsoft. Les documents PDF pouvant embarquer du contenu Flash, les utilisateurs sont également concernés par la faille, mais l’utilisation de Reader X atténue l’impact en ce sens que la faille peut toujours être exploitée pour acquérir des informations, mais pas pour modifier et écrire des données dans le système d’exploitation lui-même.
Adobe avertit également que la faille est déjà exploitée sous la forme de fichiers Excel (xls) malveillants contenant du contenu Flash spécialement conçu. La finalité semble être pour l’instant l’installation d’un malware, mais le nombre d’exploitations risque d’augmenter rapidement, car la faille est présente dans plusieurs des produits les plus utilisés au monde.
Il n’existe aucun moyen de se protéger complètement contre la faille. Dans le cas de Reader, la version X permet de briser l’installation du malware, mais pas une autre exploitation de venir lire des données. Adobe a indiqué qu’un correctif devrait être disponible la semaine prochaine.
Les versions concernées sont donc :
- 10.2.152.33 et versions antérieures sous Windows, Mac OS X et Linux
- 10.1.106.16 et versions antérieures sous Android
La faille est également présente dans les moutures 9.X et 10.X d’Adobe Reader. L’exploitation de la brèche passe en effet par l’ouverture d’un fichier SWF spécialement conçu et qui, une fois ouvert, permet l’exécution d’un code arbitraire et malveillant.
Au sujet de son Reader, Adobe fait toutefois un distinguo sur la version 10, lancée récemment. Elle dispose, dans sa mouture Windows, d’un mode isolé pour lequel l’éditeur avait d’ailleurs travaillé avec Microsoft. Les documents PDF pouvant embarquer du contenu Flash, les utilisateurs sont également concernés par la faille, mais l’utilisation de Reader X atténue l’impact en ce sens que la faille peut toujours être exploitée pour acquérir des informations, mais pas pour modifier et écrire des données dans le système d’exploitation lui-même.
Adobe avertit également que la faille est déjà exploitée sous la forme de fichiers Excel (xls) malveillants contenant du contenu Flash spécialement conçu. La finalité semble être pour l’instant l’installation d’un malware, mais le nombre d’exploitations risque d’augmenter rapidement, car la faille est présente dans plusieurs des produits les plus utilisés au monde.
Il n’existe aucun moyen de se protéger complètement contre la faille. Dans le cas de Reader, la version X permet de briser l’installation du malware, mais pas une autre exploitation de venir lire des données. Adobe a indiqué qu’un correctif devrait être disponible la semaine prochaine.
Source :
Adobe
Vincent Hermann
le 17 mars 2011 à 11:48
(17 957
lectures)
Actualités et brèves relatives
- 08 / 03 / 2011 : Flash 10.3 en bêta : analyse vidéo, annulation de l'écho et autres
- 08 / 03 / 2011 : Flash 11 : la vraie 3D et un projet d'incubation (màj)
- 08 / 03 / 2011 : Adobe Wallaby, un outil de conversion Flash vers HTML5
- 04 / 03 / 2011 : WebGL : les spécifications ont été finalisées
- 10 / 02 / 2011 : PCi Labs : trois vidéos sur trois écrans avec Flash 10.2
- 09 / 02 / 2011 : (MàJ) Flash : Adobe publie la version finale de son Player 10.2
- 20 / 12 / 2010 : Chrome 9.0 disponible en bêta : Flash isolé et arrivée de WebGL
- 03 / 12 / 2010 : Google annonce une sandbox pour Flash dans Chrome
