Un nouveau mois commence, et une nouvelle mise à jour Flash, correct ? Faux, qui a déjà entendu parler du Patch Thursday ?
La situation doit certainement le justifier …
En effet, Adobe a eu connaissance d’un signalement indiquant qu’un exploit pour CVE-2018-5002 était présent dans la nature, et était utilisé dans le cadre d’attaques limitées et ciblées contre des utilisateurs Windows. Ces attaques exploitent des documents Office, avec du contenu Flash Player malveillant, répandus par email.
Contrairement aux vulnérabilités critiques corrigées dans les mises à jour Adobe des mois de Mars, Avril et Mai, CVE-2018-5002 n’est pas une faille exploitable à distance que les cybercriminels pourraient décider d’exploiter plus tard, mais plutôt une qu’ils exploitent déjà à l’heure actuelle, dénommée plus communément comme une faille zero-day.
Vous savez, comme celle traitée dans la mise à jour Flash de février.
Selon Qihoo 360 Core Security, l’une des nombreuses entreprises à avoir découvert ce bug de son côté, des pirates ont été vus en train de lancer des attaques utilisant des documents Microsoft Office configurés pour charger des fichiers Flash exploitant cette vulnérabilité.
Le bug existe dans toutes les versions de Flash jusqu’à 29.0.0.171. Vous aurez besoin de la version 30.0.0.113 pour disposer du correctif.
Les lecteurs Flash fournis avec Google Chrome, Microsoft Edge et Internet Explorer 11 pour Windows 10 et 8.1 l’auront automatiquement.
Selon Adobe, tout le monde devrait installer cette mise à jour Flash “via le mécanisme de mise à jour du produit” ou en obtenant une copie du lecteur fraîchement sortie, à partir du Centre de téléchargement Adobe Flash Player.
Compte tenu de la régularité incessante des mises à jour critiques, et de l’absence totale de surprise suite à la découverte d’un autre exploit dans la nature, les utilisateurs purs et durs de Flash ont probablement tellement l’habitude des mises à jour Flash qu’ils peuvent les installer même pendant leur sommeil !
Je vous suggère de vous débarrasser de ce réflexe inconscient et de ne pas le mettre à jour du tout. Je vous suggère plutôt, si vous utilisez encore Flash, de le supprimez entièrement, maintenant et définitivement, et de ne plus jamais revenir en arrière !
Pourquoi ? Car quoi que vous en pensiez, il sera officiellement mort en 2020, alors vous allez devoir faire sans très bientôt !
Ne jouez plus à cette roulette russe numérique et évitez par la même occasion les 30 derniers tours de barillet !
Billet inspiré de Flash zero-day exploit. Act now!, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.