Adobe reproche à Apple de livrer une version obsolète de son lecteur Flash

En procédant à la mise à jour de Snow Leopard en version Mac OS X 10.6.4, laquelle corrige 28 vulnérabilités - dont deux concernent le player d'Adobe - Apple aurait inclus une version Flash datant du mois de février.

C'est un autre épisode témoignant de la tension qui existe entre les deux entreprises depuis que le PDG d'Apple, Steve Jobs, a annoncé son refus d'intégrer le lecteur Flash aux appareils mobiles d'Apple au motif qu'il était trop lent, instable et obsolète. Adobe a immédiatement répliqué, faisant remarquer que les correctifs pour Flash qu'Apple avait fourni avec sa dernière mise à jour étaient dépassés. «La mise à jour 10.6.4 de Mac OS X inclut bien le player d'Adobe, mais pas la dernière version, » a déclaré Brad Arkin, directeur de la sécurité et la confidentialité chez l'éditeur, dans un message posté sur Twitter mardi, soit peu après la livraison de la mise à jour de sécurité et de performance par le constructeur.

Chez Adobe, d'autres voix se sont élevées pour dire qu'Apple avait livré la version 10.0.45.2 du lecteur Flash avec Mac OS X 10.6.4, et invitent, comme Brad Arkin les utilisateurs Mac à télécharger la dernière version directement depuis le site de l'éditeur. C'est en février 2010 que ce dernier avait corrigé plusieurs bogues dans Flash Player 10.0.45.2 pour Mac et Windows. La dernière version du lecteur de média est actuellement la 10.1.53.64, après le patch de mise à jour d'Adobe effectué le 10 juin, corrigeant 32 failles dont une faille zero-day exploitée depuis le début du mois par des pirates.

Ce n'est pas la première fois qu'Apple est pris en défaut pour l'application des correctifs sur Adobe Flash Player. Car, contrairement à Microsoft, la firme de Cupertino s'occupe elle-même de la diffusion des mises à jour du player de l'éditeur pour ses utilisateurs, en les intégrant aux mises à jour de Mac OS X. En septembre, ce dernier avait déjà noté qu'Apple avait diffusé une ancienne édition vulnérable de Flash Player pour Mac OS X 10.6, alias Snow Leopard, peu après sa sortie datant d'août 2009. Les chercheurs en sécurité avait alors pointé Apple pour avoir intégré une ancienne version du logiciel d'Adobe dans Mac OS 10.6, signalant même un « déclassement » des éditions plus récentes. Deux semaines plus tard, Apple rafraichissait Snow Leopard en incluant une copie à jour de Flash.

[[page]]

« Les utilisateurs Mac qui ont cette fois mis à jour manuellement le Player Flash en version 10.1.53.64 dès la semaine dernière ne doivent prendre aucune autre mesure, » a déclaré Brad Arkin dans un message sur Twitter. «L'update Mac OS X 10.6.4 ne semble pas déclasser le dernier Flash Player, si bien que les utilisateurs n'ont pas à réappliquer la mise à jour, » a précisé le responsable d'Adobe. Les utilisateurs peuvent vérifier quelle version du Player Flash est actuellement active dans leur navigateur en visitant le site About Flash Player d'Adobe. Ils doivent effectuer cette vérification pour chaque navigateur installé sur leur ordinateur. S'ils ne disposent pas de la version la plus récente, ils peuvent l'installer manuellement en la téléchargeant sur le site d'Adobe.

Sept des 28 failles, soit 25% du total, corrigées par Apple dans Mac OS X 10.6.4 résultent de « l'exécution de code arbitraire, » une façon pour Apple de dire que ces bugs sont critiques et pourraient être utilisés pour infecter la machine avec des logiciels malveillants, y compris des spambots et des keyloggers ou enregistreurs de touches capables de vol d'identité. Parmi les vulnérabilités, hors Flash Player, corrigées par Mac OS X 10.6.4, trois concernent la mise en oeuvre du CUPS (Common Unix Printing System), trois le protocole d'authentification Kerberos, une le client de messagerie instantanée iChat d'Apple, et une autre le logiciel Wiki Server d'Apple.

Mac OS X 10.6.4 met également à jour Safari en version 5, lancé le juin 7 dernier, après un colmatage record de 48 failles. Apple a également corrigé 16 codes non liés à la sécurité, y compris une amélioration de fiabilité pour les connexions VPN (réseau privé virtuel) et a résolu un problème de réponse du clavier. La dernière mise à jour de Snow Leopard, qui date du mois de mai, avait mis fin à un nombre record de 92 failles de sécurité, dont un tiers jugées critiques. Mac OS X 10.5, alias Leopard, a également fait l'objet d'une mise à jour de sécurité hier. Mac OS X 10.6.4 peut être téléchargé depuis le site d'Apple ou installé en utilisant le service de mise à jour intégré au système d'exploitation.