Sécurité IT : alerte à la faille sur Flash Player

Matricule : CVE-2014-0515. Nature : faille de sécurité. Importance : critique.

Voilà quelques-uns des principaux éléments à retenir de l’alerte émise ce 28 avril par Adobe. L’éditeur a confirmé l’existence d’une vulnérabilité qui touche toutes les versions de son greffon Flash Player sur Windows, OS X et Linux. Un correctif a été déployé en urgence – hors du cycle habituel de mise à jour – pour colmater cette brèche liée à une mauvaise gestion de la mémoire tampon pouvant mener à un dépassement de capacité.

La faille en question est de type 0-day : elle est activement exploitée de façon malveillante. « Au moins deux exploits » en ont tiré parti, selon les experts en sécurité de Kaspersky Lab, qui se sont procuré plusieurs échantillon à la mi-avril. Déclenchée par l’ouverture, côté utilisateur, d’une page Web malicieuse, la vulnérabilité peut donner lieu à une exécution de code à distance ; en d’autres termes, une prise de contrôle de la machine ciblée, avec le niveau de privilèges de la session en cours.

Le premier exploit peut être utilisé pour infecter n’importe quel ordinateur sur lequel Flash Player est installé. Le second nécessite la présence du contrôle ActiveX Flash Player 10… et du greffon Cisco MeetingPlace Express, du nom de cette solution de vidéoconférence. Qu’elles utilisent l’un ou l’autre de ces leviers, les attaques répertoriées sont généralement de type « watering hole » : elles consistent à piéger un site Internet visité de manière régulière.

Illustration en Syrie, où l’un des sites rattachés au ministère de la Justice a été piraté en septembre dernier (revendiqué sur Twitter). Kaspersky Lab y a trouvé la trace de fichiers vidéo malveillants (movie.swf et include.swf) intégrés dans le code d’une page stratégique, présentée comme un formulaire permettant aux citoyens de communiquer leurs doléances au gouvernement. Le dépassement de capacité, déclenché par Pixel Bender (composante de Flash qui traite les images… et les vidéos), a permis au pirates de mener un espionnage à grande échelle.

Les deux exploits, qui s’appuient sur cette faille non documentées, préparent la mémoire tampon, puis mènent discrètement des opérations de remplissage, avec la capacité de s’adapter dynamiquement au système d’exploitation. Tout particulièrement Windows 8, dont Microsoft a renforcé les défenses.

Précisons que cette vulnérabilité n’a pas de rapport avec la faille critique qui touche actuellement toutes les versions du navigateur Web Internet Explorer, sur un large éventail de plates-formes. Microsoft travaille sur un correctif d’urgence.

—— A voir aussi ——
Quiz ITespresso.fr : incollable sur les logiciels Adobe ?

Crédit photo : kentoh – Shutterstock.com