Flash Player : Adobe intervient en urgence sur une faille déjà corrigée

Des attaquants ont trouvé des moyens d'exploiter la faille CVE-2014-8439 de Flash Player déjà corrigée par Adobe en octobre dernier. Des experts en sécurité ont confirmé que plusieurs « kits d'exploit » circulaient.

Adobe a livré hier une mise à jour d'urgence pour son lecteur Flash Player destinée à corriger différentes failles dont celle référencée CVE-2014-8439 sur laquelle il était déjà intervenu sur le 14 octobre. Entre temps, de nouvelles façons d'exploiter cette faille -qui pourrait conduire à l'installation d'un malware- ont été trouvées par les attaquants. La dernière mise à jour d'Adobe vient donc renforcer les moyens de lutter contre cette vulnérabilité. Apparemment, le patch livré n'était pas suffisant pour stopper les « kits d'exploit » élaborés par des développeurs pour en tirer parti. Ces derniers ont donc pu mettre au point d'autres outils. Les « kits d'exploits » sont des programmes malveillants qui sont utilisés pour attaquer automatiquement les ordinateurs naviguant sur un site web où l'un de ces outils est installé. Ils recherchent dans les logiciels utilisés par l'ordinateur -ici dans Flash Player- les failles identifiées qui vont leur permettre d'installer un malware sur le poste en question.

Dans un billet, Timo Hirvonen, expert en sécurité chez F-Secure, explique que sa société a découvert la vulnérabilité en analysant l'un de ces kits dénommé Angler, que lui avait adressé un expert en sécurité indépendant, Kafeine. Le kit semblait être opérant, malgré le correctif d'Adobe. « Nous pensons que le dernier patch empêchait peut-être l'exploit de fonctionner mais les racines de la faille n'étaient toujours pas traitées, nous avons donc contacté l'équipe Product Security Incident Response d'Adobe, explique Timo Hirvonen. L'éditeur de Flash a confirmé la théorie et livré une mise à jour exceptionnelle pour limiter les dégâts. Kafeine avait découvert que le kit Angler exploitait encore la faille après la livraison du correctif du 14 octobre. Les kits Astrum et Nuclear l'exploitaient aussi.

Les versions les plus récentes de Flash pour Windows et Mac OS sont numérotées 15.0.0.239. Pour Linux, il s'agit de la version 11.2.202.424. Les navigateurs web Chrome de Google et Internet Explorer de Microsoft doivent se mettre à jour automatiquement, mais l'update peut aussi être installé manuellement depuis le site d'Adobe.