Il existe une certaine confusion chez les internautes et dans certains médias sur la Toile quant au correctif apporté par Adobe plus tôt cette semaine à son module Flash. Répondant au nom de code CVE-2014-0515, la faille en question pourrait selon l’entreprise «permettre à un attaquant de prendre le contrôle du système affecté».
Bien que l’attaque observée n’affecte que les ordinateurs fonctionnant sous Windows, la faille est présente également dans les versions du module Flash pour OS X et Linux.
Cependant, cette vulnérabilité n’est pas la même que celle identifiée plus tôt cette semaine.
Ce bogue subsiste dans les versions 13.0.0.182 et antérieures du lecteur Flash pour Windows, 13.0.0.201 et antérieures du lecteur Flash pour OS X, et 11.2.202.350 et antérieures du lecteur Flash pour Linux.
Des pages exploitant cette faille ont été hébergées sur le site du Ministère de la Justice de la Syrie, laissant croire que la cyberattaque aurait été perpétrée par des dissidents du régime de Bachar Al-Assad.
Bien que l’attaque observée par des chercheurs de l’entreprise russe spécialisée en sécurité de systèmes informatiques Kaspersky n’affecte que les ordinateurs fonctionnant sous Windows, la faille est présente dans le composant nommé Pixel Bender – conçu pour le traitement de la vidéo et de l’image – que l’on retrouve également dans les versions du module Flash pour OS X et Linux.
Nous vous invitons donc à effectuer la mise à jour de Flash le plus rapidement possible. Les utilisateurs d’Internet Explorer 10 et 11 sous Windows 8 recevront la mise à jour automatiquement, tout comme les utilisateurs de Chrome. Cependant, un délai de plusieurs heures peut s’avérer avant le téléchargement et l’installation automatique de ce type de mise à jour. À noter que les utilisateurs de Windows doivent installer la mise à jour séparément pour IE et Firefox.
Actuellement, il n’existe toujours pas de correctif pour la vulnérabilité d’Internet Explorer dévoilée par Microsoft dimanche dernier.