Adobe reconnait qu'une faille 0-day touche Flash

Les logiciels Flash Player, Adobe Reader et Acrobat pourraient être victimes d'une faille de sécurité liée au composant Flash, ont indiqué cette semaine plusieurs éditeurs en sécurité. Mercredi, Adobe a reconnu l'existence de cette vulnérabilité et affirmé que ses équipes sont en train d'enquêter sur le sujet. Comme toujours lorsqu'il s'agit de Flash, l'alerte est prise très au sérieux : le composant d'Adobe est installé sur plus de 90% des ordinateurs personnels connectés à Internet, qu'ils soient sous Windows, Mac OS ou Linux.

« Cette vulnérabilité pourrait entrainer un crash et potentiellement permettre à un attaquant de prendre le contrôle d'un système infecté », explique pour sa part Adobe dans l'alerte publiée mercredi.

« D'après certains rapports, cette vulnérabilité est déjà exploitée par l'intermédiaire d'attaques ciblées, de petite envergure, visant Adobe Reader v9 sous Windows », ajoute l'éditeur. Les machines Vista sur lesquelles l'UAC (User Account Control) est activé ne seraient pas menacées.

Selon Symantec, cette faille serait déjà exploitée par l'intermédiaire d'un fichier PDF piégé à l'aide d'un cheval de Troie baptisé Trojan.Pidief.G. Ce malware exploiterait les liens entre Acrobat Reader et Flash pour infecter la machine de l'utilisateur à son insu.

Des mises à jour de sécurité pour Flash Player 9 et 10, sous Windows, Mac et Linux sont d'ores et déjà prévues pour la fin du mois de juillet. Adobe procèdera dans le même temps à la correction d'Adobe Reader et d'Acrobat.