Les dernières failles de sécurité du Flash Player d'Adobe ont été découvertes par une société russe, Intevidys. Elle a intégré cette découverte dans son module Vulndisco pour Immunity Canvas, une application réputée de penetration-testing. Le PDG et fondateur de la société, Evgeny Legerov, a indiqué qu'il ne notifierait pas ces failles à Adobe. Il y a deux ans déjà, le dirigeant avait averti les éditeurs qu'il ne donnerait aucune information sur les vulnérabilités découvertes. Intevydis n'est pas la seule entreprise de sécurité qui a adopté cette approche de « plus de bugs gratuits ». Le français Vupen est également un adepte de cette philosophie et ne partage les informations de sécurité qu'avec ses clients payants.

Un risque d'attaque en reverse engeeniring

L'attaque développée par Intevydis utilise deux failles de type zero-day de Flash Player sous Windows. Elle peut contourner les fonctionnalités de sécurité, y compris DEP et ASLR, mais aussi la sanbox d'Internet Explorer, précise Evgeny Legerov. La société a également publié une vidéo montrant l'attaque en action sur Windows et a promis de publier des informations sur MacOS X. Les vulnérabilités liées à Flash Player peuvent être exploitées en intégrant du contenu Flash malveillant dans des sites web ou des documents PDF. Adobe Reader et Acrobat sont généralement affectées par les défauts de Flash Player, car ils incorporent une composante de lecture Flash.

Adobe n'a pas émis d'avis pour ces deux failles. L'éditeur travaille déjà sur un patch pour une autre faille zero-day dans Adobe Reader et Acrobat, qui est attendue pour la semaine prochaine. Les éditeurs de logiciels antivirus et les fabricants d'IPS n'ont pas encore créé de signatures pour ces attaques, selon le SANS Internet Storm Center (ICS). En attendant, il existe un risque que des pirates utilisent l'attaque d'Intevedys à leurs fins.