Site icon Sophos News

Flash zero-day dans la nature : patchez maintenant !

flash zero-day

Dans ce dernier Patch Tuesday, Adobe a publié … rien ! Étant donné que les Patch Tuesdays d’Adobe, au cours des derniers mois, avaient progressivement diminué, peut-être que certains d’entre nous ont pensé que ces correctifs Flash allaient tout simplement disparaître.

Hélas, ce rêve ne s’est pas réalisé !

Six jours après la sortie du Patch Tuesday vide, Adobe a publié un correctif exceptionnel en réponse à une vulnérabilité Flash zero-day exploitée à travers le monde.

Cette vulnérabilité Flash zero-day, CVE-2017-11292, pourrait permettre l’exécution de code à distance et est considérée comme “Critique”. Il affecte Flash à la fois dans les navigateurs et au niveau des lecteurs de bureau, sur Windows, Mac, Linux et Chrome OS.

Adobe note que cette vulnérabilité est exploitée à grande échelle, en particulier par un groupe de cybercriminels qui a déjà utilisé d’autres vulnérabilités Flash pour mener à bien des cyberattaques.

Sophos stoppe cette attaque en bloquant l’URL à partir de laquelle le malware est téléchargé, et en détectant le malware lui-même sous le nom : Mal/Generic-S.

Néanmoins, si vous utilisez toujours Adobe Flash, vous devriez le patcher immédiatement !

Mais mieux encore, débarrasser-vous de Flash définitivement (si vous le pouvez) !

Même Adobe sait que les jours de ses lecteurs multimédias, sans cesse attaqués, sont comptés. Les éditeurs de navigateurs ont essayé depuis des années de s’en débarrasser, et en juillet dernier, Adobe a annoncé qu’il mettait définitivement un terme à l’aventure.

À la fin de 2020 !

Compte tenu de la situation, et en collaboration avec plusieurs de nos partenaires technologiques, dont Apple, Facebook, Google, Microsoft et Mozilla, Adobe prévoit de mettre fin à Flash. Plus précisément, nous arrêterons la mise à jour et la distribution de Flash Player à la fin 2020 et nous encouragerons les créateurs de contenu à migrer tout contenu Flash existant vers de nouveaux formats ouverts.  

D’ici là, il y aura une quarantaine de Patch Tuesdays.

Les jours de Flash sont définitivement comptés, mais cette fin agonisante tire en longueur. Pour ceux qui pensent que cette disparition n’est pas assez rapide, Adobe attendant jusqu’en 2021, vous n’êtes pas obliger d’en faire autant !


Billet inspiré de Flash 0-day in the wild – patch now!, sur Sophos nakedsecurity.

Exit mobile version