Adobe publie une notification de sécurité signalant la présence d'une vulnérabilité dans le format Flash. Une solution provisoire est proposée pour réduire les risques, en attendant la publication du patch.

Les raisons de détester Flash ne manquent pas. Depuis des années, le format conçu par Adobe fait l’objet de vives critiques tout à fait justifiées : de la lourdeur du logiciel à l’intégration médiocre avec le web, en passant par les soucis d’interopérabilité et le fait qu’il s’agisse d’une technologie propriétaire, Flash traîne une vilaine réputation. Pas étonnant que de nombreux acteurs souhaitent le voir disparaître.

flash-logo-675.jpg
Un format massivement utilisé mais bourré de défauts.

À cette liste déjà gratinée, il faut aussi inclure les problèmes de sécurité récurrents. Cela s’est encore vérifié récemment avec la découverte d’une vulnérabilité critique qui affecte toutes les versions du format, y compris la dernière disponible sur le site d’Adobe (numérotée 21.0.0.197). Et le pire, c’est que la brèche en question, identifiée sous le code CVE-2016-1019 est déjà exploitée.

« Une vulnérabilité critique (CVE-2016-1019) existe dans Adobe Flash Player 21.0.0.197 et les versions précédentes dans Windows, Macintosh, Linux et Chrome OS. Une exploitation réussie pourrait provoquer un crash et permettre en théorie à un assaillant de prendre le contrôle du système affecté », commente Adobe, qui confirme que la brèche est d’ores et déjà en cours d’utilisation.

Un correctif est attendu jeudi 7 avril

« Adobe est au courant des informations indiquant que CVE-2016-1019 est en train d’être activement exploité sur les systèmes utilisant Windows 7 et Windows XP avec Flash Player en version 20.0.0.306 et inférieur ». Adobe explique qu’une solution permettant d’atténuer le problème est disponible avec la branche 21.0.0.182, de façon à empêcher l’exploitation de cette faille.

Les utilisateurs sont invités à mettre à jour sans tarder le logiciel Flash, même s’il n’existe pas encore de patch colmatant une bonne fois pour toutes cette brèche. En effet, l’usage d’une version réduisant l’exposition à un piratage à distance constitue déjà une protection supplémentaire. Adobe prévoit de publier dès demain, jeudi 7 avril, une mise à jour de sécurité qui réglera le problème.

Partager sur les réseaux sociaux

Articles liés