Adobe a livré hier une mise à jour surprise pour corriger 25 vulnérabilités critiques dans son player Flash. L'éditeur, qui a classé le correctif en «Priorité n°1» dans son système de notation à trois niveaux, a vivement incité les utilisateurs de Windows à appliquer le patch au cours des prochaines 72 heures. Le classement en «Priorité n°1» signifie que le lecteur contient des «vulnérabilités ciblées, ou ayant un risque plus élevé d'être ciblées par un ou des exploit(s) sauvages ».

A 10 heures (Pacific Time), Google livrait aussi une mise à jour de la version Windows de Chrome, laquelle intègre le player Flash. Et, alors que Microsoft avait prévu de mettre à jour Internet Explorer 10 (IE10) pour Windows 8 plus tard en octobre comme l'indique son site de téléchargement Internet, un porte-parole de l'entreprise de Redmond a indiqué que cette date n'était pas exacte. En fait, Microsoft a commencé à livrer une mise à jour d'IE10 via Windows Update quasiment au même moment que Google.

Sur les 25 vulnérabilités répertoriées, 14 sont des bugs pouvant provoquer une saturation de la mémoire tampon, et les 11 autres concernent des problèmes de corruption de mémoire. Toutes ces vulnérabilités sont susceptibles d'être mises à profit pour « exécuter du code » malveillant, comme l'a déclaré Adobe dans son avis de sécurité publié dimanche.

Mise à jour surprise de Microsoft

La réponse très rapide de Microsoft pour corriger IE10 pour Windows 8 contraste avec l'attitude adoptée par l'éditeur le mois dernier. En effet, Microsoft avait commencé par dire qu'il ne procèderait à aucune correction de Flash avant la fin du mois d'octobre. Mais, très critiquée pour cette position jugée « laxiste », l'éditeur a du faire marche arrière, en disant qu'il livrerait une mise à jour. C'est ce qu'il a fait le 21 septembre, promettant aussi une coordination plus étroite avec Adobe.

Microsoft, et non Adobe, est responsable de la mise à jour du player Flash.  En effet, pour s'aligner sur Google, Microsoft a intégré Flash dans IE10 pour Windows 8, comme Google a intégré Flash dans Chrome. Et chaque éditeur a la charge de mettre à jour son navigateur pour corriger le lecteur Flash intégré. Alors que Windows 8 n'est pas officiellement lancé - le  système d'exploitation sera disponible le 26 octobre - depuis la mi-août des développeurs, des professionnels de l'informatique et de nombreuses entreprises ont déjà pu avoir accès au système d'exploitation.

Google a poussé Microsoft à accélérer

Andrew Storms, directeur de la sécurité chez nCircle Security, pense que cette mise à jour surprise de Flash est le fait de Google. «Il était prévu qu'Adobe se coordonne avec Microsoft. Je me demande donc pourquoi l'éditeur n'a pas attendu le 9 octobre, date initialement prévue, et qui correspond à celle du calendrier établi par Microsoft pour son Patch Tuesday régulier ? » s'interroge l'expert en sécurité. D'autant que « selon Adobe, il n'y a pas d'attaques en cours mettant à profit ces vulnérabilités. Mais il y a ce concours Pwnium, et cela semble assez bien correspondre », a ajouté l'expert.

Selon la théorie d'Andrew Storm, Adobe s'est senti obligé de livrer sa mise à jour pour Flash avant le lancement du second concours de piratage Pwnium 2 organisé par Google à partir de demain à Kuala Lumpur, Malaisie. Les ingénieurs en sécurité de Google ont signalé 24 des 25 vulnérabilités corrigées par Adobe, histoire de protéger Chrome contre les attaques des hackers participant au concours. Le 2 août dernier, quand Google a annoncé la seconde édition de son concours Pwnium, le géant de l'Internet avait aussi déclaré qu'il mettait en jeu un total 2 millions de dollars de prix. Les chercheurs capables d'exploiter des bugs dans Chrome et d'autres logiciels ou dans du code non-Google, recevront ainsi des  primes de 40 à 60.000 dollars pour leurs exploits.

Ou est la cohérence chez Adobe ?

Ces mises à jour soudaines à répétition de Flash laissent un goût amer au chercheur en sécurité. « Cette politique en demi-teinte et ces pratiques inégales créent la confusion », a fait valoir Andrew Storm. « Elles ne sont pas cohérentes. Quand j'ai entendu qu'Adobe livrait une mise à jour pour le player Flash, j'ai pensé à un zero-day, parce que le patch n'a été précédé d'aucun avertissement ». Mais Adobe a déclaré que, à sa connaissance, il n'y avait aucune exploitation sauvage des vulnérabilités patchées aujourd'hui. « L'éditeur aurait pu attendre un jour de plus pour livrer le patch à la date prévue, c'est à dire le jour du Patch Tuesday de Microsoft, mais Google a forcé la main d'Adobe », a estimé l'expert en sécurité. 

Les utilisateurs de Windows 8 peuvent obtenir la mise à jour de Flash pour IE10 via le service Windows Update de Micrososft, ainsi que via le WSUS (Windows Server Update Services), pour les versions Entreprise. Cette année, et jusqu'à présent, Adobe aura livré huit mises à jour de Flash : une en février, deux en mars, une en mai, une en juin, deux en août, et une en octobre.