Une nouvelle faille zero-day découverte dans le plugin Flash. Merci The Hacking Team

Par:
fredericmazue

jeu, 09/07/2015 - 15:21

Qui aurait pu penser que The Hacking Team, cette société italienne qui fait ses choux gras dans le cyberespionnage, contribue à la sécurité informatique ?

Elle vient pourtant de le faire, mais à l'insu de son plein gré. La société a subi la semaine dernière un piratage de grande ampleur. Piratage qui a été suivi par la mise en ligne sur Pastebin de 400 Go de données de la société.

Parmi les données figure le code source de DaVinci, son logiciel espion vedette. Si pour l'essentiel DaVinci exploite des vulnérabilités assez anciennes et donc patchées par les utilisateurs  qui veillent à faire régulièrement leurs mises à jour, il avait aussi ses petits secrets.

C'est ainsi que la publication du code a montré que DaVinci exploitait une faille zero-day dans le plugin Flash d'Adobe. Une faille hautement critique qui permettait la prise de contrôle à distance de l'ordinateur attaqué.

Quelque chose de routinier finalement avec ce sacré plugin Flash qui mériterait bien d'être surnommé 'vivier à vulnérabilités critiques' :-) La faille a été confirmée par Symantec et Trend Micro. La faille affecte tous les plugins Flash version 18.0.0.194 et antérieures. La version 18.0.0194 était d'ailleurs elle-même déjà un correctif pour une vulnérabilité aux conséquences similaires.

Cette nouvelle faille, que The Hacking Team avait surnommée "la plus belle faille Flash des quatre dernières années" a été corrigée hier par Adobe qui, pour remédier au problème, a publié la version 18.0.0.203 de son plugin farces et attrapes. Ne tardez pas à appliquer ce correctif.