Adobe communiqués de tiers non programmée Flash mise à jour de sécurité

0
77

Adobe Flash

Le géant du logiciel a forcé à agir à la suite de la découverte d’une faille affectant le site de partage vidéo Dailymotion

Adobe a publié son troisième Flash non programmée de mise à jour de sécurité cette année, d’après le site de partage vidéo Dailymotion trouvé une annonce qui redirigé vers un contrôlé par l’attaquant page qui pourrait être utilisé pour prendre le contrôle d’un système de l’utilisateur.

Adobe l’a dit dans son message d’alerte: “Une critique de la vulnérabilité (CVE-2015-0313) existe dans Adobe Flash Player 16.0.0.296 et versions antérieures pour Windows et Macintosh. Le succès de l’exploitation pourrait causer un accident et permettre à un attaquant de prendre le contrôle du système affecté. Nous sommes conscients des rapports que cette vulnérabilité est activement exploitée dans la nature par drive-by-download les attaques contre les systèmes qui exécutent Internet Explorer et Firefox sur Windows 8.1 et ci-dessous.”

Paul Ducklin a écrit sur le blog de Sophos: “Ce script essaie de deviner qui vulnérabilités sont plus susceptibles de travailler sur votre ordinateur, en fonction de la version du navigateur, plugins disponibles, et d’autres paramètres, puis vous permet de ripper un par un avec certains exploits,” jusqu’à ce que rien ne se passe, le navigateur se bloque ou de l’un des exploits réussit et que votre ordinateur a été pris en charge.

L’exploit zero-day a été corrigé, mais Adobe ne pas anticiper complètement la correction de la vulnérabilité jusqu’à plus tard cette semaine.

Peter Pi, menace analyste chez Trend Micro, a déclaré: “Nous avons vu autour de 3,294 hits liées à l’exploitation et, avec une attaque déjà vu à l’état sauvage, il est probable il y a d’autres attaques en tirant parti de ce “jour zéro”, ce qui pose un grand risque de compromettre pour les systèmes non protégés.”

Pendant ce temps, Adobe a commenté dans un communiqué: “Nous sommes conscients de rapports que cette vulnérabilité est activement exploitée dans la nature par drive-by-download les attaques contre les systèmes qui exécutent Internet Explorer et Firefox sur Windows 8.1 et ci-dessous.”

La semaine dernière, YouTube a annoncé qu’il a commencé à mettre en œuvre HTML5 par défaut dans les navigateurs pour lire des vidéos plutôt que de Flash car il dit que Flash n’a pas pu soutenir Adaptive Bitrate (ABR), ce qui réduit le tampon sans compromettre la qualité de la vidéo.