Adobe corrige une faille XSS dans le lecteur Flash 10.3
L'autorisation de l'utilisateur ? C'est démodé
Adobe vient de publier une nouvelle mise à jour pour Flash 10.3, pour l’ensemble des plateformes concernées par cette technologie. Bien qu’elle soit jugée « seulement » importante et non critique, les récents déboires des utilisateurs de Mac OS X avec Mac Defender indiquent que l’ingénierie sociale peut faire toute la différence.
La faille comblée par Adobe est de type XSS (cross-site scripting). Pour Windows, Mac OS X et Linux, la nouvelle version est estampillée 10.3.181.22 et devrait donc être proposée automatiquement aux utilisateurs via le processus intégré du lecteur Flash. Une version 10.3.185.22 pour Android est également en préparation et sera diffusée plus tard dans la semaine. À noter que la version intégrée à Chrome est déjà mise à jour.
Le fait que la faille soit considérée comme importante et non critique indique qu’elle ne peut pas être exploitée sans intervention de l’utilisateur. Comme dit précédemment, les problèmes causés par Mac Defender prouvent que ce n’est pas un problème : on peut amener un utilisateur à penser qu’il utilise son ordinateur d’une certaine manière et le tromper pour lui faire valider une action malveillante.
On peut vérifier depuis cette page du site officiel si l’on possède la dernière version en date du lecteur Flash.
La faille comblée par Adobe est de type XSS (cross-site scripting). Pour Windows, Mac OS X et Linux, la nouvelle version est estampillée 10.3.181.22 et devrait donc être proposée automatiquement aux utilisateurs via le processus intégré du lecteur Flash. Une version 10.3.185.22 pour Android est également en préparation et sera diffusée plus tard dans la semaine. À noter que la version intégrée à Chrome est déjà mise à jour.
Le fait que la faille soit considérée comme importante et non critique indique qu’elle ne peut pas être exploitée sans intervention de l’utilisateur. Comme dit précédemment, les problèmes causés par Mac Defender prouvent que ce n’est pas un problème : on peut amener un utilisateur à penser qu’il utilise son ordinateur d’une certaine manière et le tromper pour lui faire valider une action malveillante.
On peut vérifier depuis cette page du site officiel si l’on possède la dernière version en date du lecteur Flash.
Source :
Adobe
Vincent Hermann
le 7 juin 2011 à 13:58
(9 231
lectures)
Actualités et brèves relatives
- 20 / 05 / 2011 : Flash 10.3 : un souci d'accélération graphique dans IE9
- 13 / 05 / 2011 : Flash 10.3 en version finale pour Windows, OSX et Android
- 29 / 04 / 2011 : (màj) Flash 10.2 pour Android 3.0 : l'accélération devra attendre
- 22 / 04 / 2011 : Adobe colmate ses brèches de sécurité dans Reader et Acrobat
- 12 / 04 / 2011 : Flash : une nouvelle faille critique touche toutes les versions
- 17 / 03 / 2011 : Opera 11.10 bêta : Speed Dial, HTML5, WOFF et Flash
- 17 / 03 / 2011 : Chrome : versions stable, bêta et dev à jour, et nouvelle icône
- 17 / 03 / 2011 : Adobe : une faille critique 0-day dans Flash et Reader
