GNTActuellement exploitée dans le cadre d'attaques ciblées, une vulnérabilité critique affecte Flash Player et déborde sur Adobe Reader.
Adobe a publié un avis de sécurité au sujet d'une vulnérabilité dans Flash Player 10.2.452.33 et versions antérieures pour Windows, Mac OS, Linux et Solaris, ainsi que Flash Player 10.1.106.16 ( et versions antérieures ) pour Android. Le plugin intégré dans Google Chrome est également concerné.
La vulnérabilité est par ailleurs présente dans le composant authplay.dll fourni avec Adobe Reader 10.x et Acrobat 9.x, et via lequel il est possible d'exécuter du contenu SWF. Pour la version 10.x de Reader sous Windows ( ou Adobe Reader X ), le danger est moindre compte tenu de la protection sandbox qui empêche du code malveillant d'accéder au système d'exploitation.
Pour le moment, les premières attaques rapportées tirent parti d'un fichier .swf malveillant contenu dans un fichier Microsoft Excel ( .xls ). Le but de l'attaque est d'installer un malware sur l'ordinateur de la victime. Attention donc aux fichiers .xls véhiculés par e-mail.
Une mise à jour de Flash Player et Adobe est programmée pour la semaine prochaine. Pour Adobe Reader X sous Windows, la correction pourra attendre jusqu'à mi-juin - date de la prochaine fournée trimestrielle de correctifs Reader et Acrobat - grâce aux vertus du mode protégé.
@+
