CVE-2016-7855 : Nouvelle vulnérabilité critique pour Flash Player

La version 23.0.0.205 de Flash Player a été publiée récemment par Adobe, celle-ci corrige un faille de sécurité critique de type user-after-free.


C’est plus précisément deux ingénieurs du “Threat Analysis Group” (groupe d’analyse des menaces) de Google qui ont découvert cette vulnérabilité référencée par le CVE-2016-7855.

Une faille de type use-after-free est présente quand un programme souhaite utiliser un pointeur qui pointe vers une zone mémoire qui a été libérée. Autrement dit, le pointeur utilisé par le programme va aller chercher une information dans une zone mémoire qui, entre temps, a pu être allouée à un autre programme et donc potentiellement sous le contrôle d’un attaquant. Dans les meilleurs cas, cela provoque un crash de l’application, dans le pire, cela peut amener à une exécution de code arbitraire

flash

Logo d’Adobde Flash Player

D’après les annonces d’Adobe, cette vulnérabilité peut par exemple être utilisée dans le cadre d’attaques ciblées contre les utilisateurs des OS Windows 7, 8.1 et 10.

Après la remonté de cette vulnérabilité, Adobe a bien entendu déployé un patch correctif, les différentes applications intégrant un version spécifique de flash ne devraient pas tarder également à déployer des patchs pour leurs applications. C’est le cas de Edge et d’internet explorer qui intégrent Flash par défaut, le déploiement du correctif sera effectué au travers une mise à jour Windows (Patch Tuesday). Également pour  Chrome qui dispose de son propre processus de mise à jour. La distributions des correctifs pour ce type d’application intégrant flash est donc à attendre dans les prochains jours.

Pour le reste, il faudra passer par une mise à jour de Flash manuelle, je pense notamment aux utilisateurs de Linux/MacOS. La version de Flash à télécharger pour Linux est la version 11.2.202.643 et la version 23.0.0.205 pour les distributions Windows et Mac.

Cette nouvelle faille de sécurité dans Flahs rappel que l’intégration automatique dans un navigateur simplifie certes la vie de l’utilisateur, mais rend de fait automatiquement vulnérable tous les éléments utilisant Flash comme Internet Explorer. Ce point est bien sur à mitiger quand un processus de mise à jour automatique est en place et que celui-ci est réactif.

Selon Softpedia, il s’agit de la quatrième zero-day faisant l’objet d’un patch cette année pour Flash, en avril, mai et juin derniers, d’autres correctifs avaient été publiés afin de patcher des failles tout aussi critique.

Update (28/10/2016): Comme prévu, la mise à jour pour OS et applications Windows a été publié et porte la référence MS16-128 : Microsoft Security Bulletin MS16-128 – Critical 

Sources : Softpedia, Webopedia

Vous aimerez aussi...

1 réponse

  1. newsoftpclab dit :

    Côté failles de securite flash player a passé une bien mauvaise années!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *