Le plug-in Flash de Macromedia victime d’une faille

« Tous les utilisateurs d’Internet Explorer sont potentiellement affectés car il s’agit d’une extension OCX [composant de Visual Basic, ndlr] authentifiée par Macromedia. » Le début du rapport d’eEye Digital Security, société spécialisée dans la sécurité, aurait de quoi provoquer la panique si les trop nombreuses failles dues à Microsoft n’avaient tendance à banaliser ce genre d’annonce. La faille en question provient du module ActiveX Flash de Macromedia qui permet de lire le format vectoriel Shockwave Flash, lequel est généralement utilisé dans les animations en ligne, notamment.

Apparemment, c’est la version 6 (révision 23) qui est touchée. Mais eEye précise que les versions précédentes pourraient aussi être affectées. Autrement dit, à peu près toutes les versions de Windows 9x/NT livrées avec Internet Explorer. Cette faille permet, via un code malicieux, de prendre le contrôle à distance de l’ordinateur victime. Plus précisément, l’ActiveX « Flash.ocx » présent dans IE a tendance à saturer la mémoire tampon, rendant plus facile son exploitation via des lignes de code contenues dans une page Web ou un e-mail au format HTML. Pour eEye, cette faille présente un risque très élevé. D’autant plus élevé qu’IE est présent sur quasiment tous les ordinateurs sous Windows 32 bits.

Nouvelle version sécurisée

Heureusement, Macromedia a su réagir très vite face au problème : l’éditeur a déjà mis en ligne une nouvelle version sécurisée du plug-in. Il est donc fortement conseillé d’effectuer une mise à jour, d’autant que le fichier à télécharger ne dépasse pas les 400 Ko. Pour renforcer la sécurité de son navigateur, il est également possible de désactiver totalement les contrôles ActiveX à partir du menu Personnaliser dans les Options d’IE (menu Outils, Options Internet, Securité, Personnaliser le niveau). Mais dans ce cas, le navigateur perdra de nombreuses capacités, à commencer par la lecture des animations Flash. Très efficace mais un peu radical.