La vulnérabilité dans Flash Player, qui concerne un problème de corruption de mémoire, a été qualifiée de «critique» par Adobe, ce qui signifie qu'elle peut « permettre à un pirate de prendre le contrôle du système affecté, » comme l'indique l'avis qui accompagne le patch. « Des rapports indiquent que cette vulnérabilité est exploitée de manière sauvage pour mener des attaques ciblées utilisant des pages Web infectées, » indique encore l'avis.

La dernière mise à jour d'urgence, dite «out-of-band », date du 5 juin seulement : Adobe avait du corrigé en urgence une faille critique exploitée par des attaquants pour voler des informations de connexion à la messagerie Gmail de Google. Ces attaques étaient différentes de celles révélées par Google la semaine précédente, où le fournisseur de service de messagerie accusait des pirates chinois de cibler certains individus, dont des hauts responsables des gouvernements américains et sud-coréens, des militants antigouvernementaux et des journalistes chinois.

La manoeuvre consistait à rediriger les utilisateurs vers une fausse page d'accueil Gmail et de les inciter à entrer leur nom d'utilisateur et leur mot de passe. Google, qui livre le lecteur Flash en bundle avec Chrome, avait mis à jour son navigateur mardi, en incluant la version tout juste corrigée de Flash. C'est la quatrième fois au cours des deux derniers mois, et la sixième fois depuis le début de l'année qu'Adobe corrige son Player. En outre, la plupart des vulnérabilités de Flash peuvent également être exploitées en utilisant des documents PDF infectés : le lecteur d'Adobe comporte une « authplay.dll», qui permet de lire des éléments Flash dans des fichiers PDF. Mais selon Adobe, le récent bug dans Flash n'affecte pas le Reader.

13 corrections dans le Reader X

Parallèlement à cette mise à jour de sécurité de Flash, Adobe a également corrigé 13 nouvelles vulnérabilités dans son Reader. La version la plus récente, Reader X, a été patchée au moins 17 fois. Tous les correctifs, sauf 2 parmi les 13 nouveaux bugs, ont été qualifiés de « critiques » par Adobe. Comme Apple, Adobe ne classe pas ses failles selon une échelle à plusieurs niveaux, mais les évaluent par des appréciations du genre « pourrait conduire à l'exécution de code à distance » pour dire que, en exploitant le bug, les pirates pourraient détourner le système et y introduire des logiciels malveillants.

Parmi la douzaine de nouveaux bugs, certains concernent des problèmes de corruption de mémoire et de débordement de mémoire tampon, un autre concerne un script inter-document, un autre le détournement de DLL et un autre le «contournement de la sécurité ». Cette dernière vulnérabilité ne concerne que le Reader X, qui, dans certaines circonstances, permet à un attaquant de forcer le plug-in du Reader intégré au navigateur Internet à télécharger un fichier non-PDF, comme l'a expliqué Adobe en réponse à une question dans un fil de discussion.

[[page]]

Adobe a également appliqué au moins quatre - et peut-être plusieurs - correctifs à son Reader X que l'éditeur avait omis de patcher lors des trois précédentes mises à jour « out-of-band », dont la première datait du mois de mars. Celles-ci corrigeaient d'anciennes versions du Reader, mais pas le Reader X, Adobe invoquant à chaque fois le fait que la « sandbox » empêcherait les logiciels malveillants de se propager sur l'ordinateur et que cela pouvait très bien attendre une mise à jour trimestrielle, déjà programmée. Livré par Adobe en novembre dernier, le Reader X intègre en effet la technologie anti-débordement dite du « bac à sable », qui permet d'isoler le programme du reste du système.

Théoriquement, la sandbox fait en sorte que les logiciels malveillants qui pourraient s'exécuter dans le logiciel ne puissent sortir du bac à sable pour aller infecter le PC ou le Mac. Selon Adobe, aucune des vulnérabilités du Reader, corrigées par le dernier patch, n'ont été exploitées de manière sauvage. En même temps qu'Adobe livrait ses mises à jour de sécurité pour le Player Flash et le Reader, l'éditeur a également corrigé 24 vulnérabilités dans le Player de Shockwave, et deux autres dans LifeCycle Data Services et Blaze DS - respectivement un service de streaming en direct et un service de push de données, - plus deux dans ColdFusion, une plate-forme de développement d'Adobe.

Les versions corrigées du Reader et du Player peuvent être téléchargées à partir du site Web d'Adobe. Alternativement, les utilisateurs peuvent mettre en route le programme de mise à jour intégré ou répondre à l'invitation du logiciel leur indiquant qu'une nouvelle version est disponible.