Adobe travaille en ce moment à une mise à jour de son logiciel Flash Player en vue de réparer la faille de sécurité qui a été repérée sur des milliers de sites Web. Rappelons que cette vulnérabilité, telle qu'elle a été décrite en décembre dernier par Rich Cannings, de l'équipe de recherche de Google, permet aux hackers d'utiliser les fichiers Shockwave Flash (.swf) pour berner les internautes, en recourant à la méthode dite de « cross-site scripting », ou XSS. Celle-ci permet au pirate d'utiliser des scripts Java pour créer des écrans d'hameçonnage (phishing) pouvant lui donner accès à des sessions ouvertes par les visiteurs de sites Web. Dès le signalement de cette faille dans le lecteur Flash, Adobe et les autres éditeurs concernés par le problème ont modifié leurs outils de développement pour qu'il ne soit plus possible de générer des fichiers Flash vulnérables. Toutefois, il reste encore plus de 500 000 de ces fichiers publiés sur différents sites Web, selon Rich Cannings. Ce dernier estime que 10 000 sites comportent toujours des vulnérabilités. Considérant l'ampleur de la tâche nécessaire à un retour à la normale, le chercheur de Google a donc encouragé Adobe à modifier son lecteur Flash de façon à ce que celui-ci puisse annihiler les attaques. Cette rustine est en cours de développement et sera disponible sous peu, a confirmé par courriel Matt Rozen, porte-parole d'Adobe. Les experts en sécurité rappellent que l'éditeur doit trouver le moyen de réparer la faille sans que cela gêne la consultation des fichiers Flash antérieurs. Interrogé à ce sujet vendredi dernier, Rich Cannings a indiqué que les solutions initialement trouvées par Adobe avaient effectivement invalidé les anciens fichiers Flash, mais qu'une réparation satisfaisante était techniquement possible. Et d'ajouter que cela simplifierait les choses si Adobe pouvait convaincre les éditeurs de navigateurs de procéder eux aussi à quelques modifications.