Vulnérabilités critiques dans Flash Player (10/06/12)

RESUME :
Plusieurs nouveaux défauts de sécurité ont
été identifiés dans le lecteur Flash, un plug-in
intégré à la plupart des navigateurs web qui
permet de visualiser les animations et vidéos du même
nom. L'exploitation des failles les plus sévères peut
permettre à un individu malveillant ou à un virus
d'exécuter à distance du code malicieux sur l'ordinateur
de sa victime à l'ouverture d'une page web ou d'une animation
Flash piégée.

LOGICIELS CONCERNES :
Adobe Flash Player 11.2.202.235 et versions inférieures
Adobe Flash
Player 11.1.115.8 et versions inférieures pour Android 4.x
Adobe Flash
Player 11.1.111.9 et versions inférieures pour Android 3.x et 2.x
Adobe AIR 3.2.0.2070 et versions inférieures
Google Chrome
19.0.1084.54 et versions inférieures

RISQUE : Critique

CORRECTIF :
Les utilisateurs concernés doivent installer rapidement la nouvelle
version du logiciel (version 11.3.300.257 ou supérieure pour Windows et Mac) via
le site
de l'éditeur ou via la fonction de mise à jour
automatique du logiciel si elle se manifeste (apparition d'une fenêtre
invitant à mettre à jour flash Player), afin de sécuriser
leur ordinateur et de prévenir toute exploitation hostile
de cette faille par des individus malveillants, des virus ou d'autres
programmes malicieux. Cette faille est par ailleurs déjà exploitée
de façon malveillante, sous la forme de courriers électroniques piégés.

Il est possible de vérifier la présence du lecteur
Flash et d'en déterminer le numéro de version sur
cette page de test.

Si plusieurs navigateurs sont installés sur votre ordinateur, il est nécessaire de recommencer la vérification et le cas échéant l'installation pour chacun des navigateurs.

Certains navigateurs (notamment Internet Explorer) doivent être fermés pour que la nouvelle version du lecteur soit prise en compte : si le numéro de version ne change pas après l'installation, fermez le navigateur, rouvrez-le puis affichez à nouveau la page de test.

NB : suite à un accord commercial entre Adobe et Google,
les utilisateurs sont incités à installer la barre d'outils Google (Google toolbar) ou le navigateur Google Chrome en même temps que le correctif. Ces programmes n'ont pas de rapport avec la sécurité et ont notamment pour fonction de collecter des informations sur les recherches que vous effectuez, aussi à moins que vous ne souhaitiez effectivement les installer,
il faut décocher la case précochée (cercle rouge sur l'image ci-dessous) avant de cliquer sur le bouton "Télécharger
dès maintenant" :




Si vous êtes intéressé par la barre d'outils Google ou le navigateur Google Chrome, il est recommandé d'en lire attentivement les conditions d'utilisation afin d'être informé du détail des fonctionnalités et des contreparties.

De la même façon, suite à un accord commercial entre Adobe et McAfee, les utilisateurs peuvent également être incités à installer le logiciel McAfee Security Scan en même temps que la mise à jour Flash Player. Ce logiciel n'a pas non plus de rapport avec le correctif de sécurité, aussi à moins que vous ne souhaitiez
effectivement l'installer, il faut décocher la case précochée
avant de cliquer sur le bouton "Télécharger dès maintenant" :




Si vous êtes intéressé par ce logiciel de McAfee, il est recommandé d'en lire attentivement les conditions d'utilisation afin d'être informé du détail des fonctionnalités et des contreparties.

Lors de l'installation de la nouvelle version du logiciel Flash Player, il vous est désormais proposé de choisir une
installation automatique des futures mises à jour ou d'être prévenu lorsque ces dernières seront disponibles, afin de rester informé de l'activité du logiciel :




Dans le cas du navigateur Google Chrome, la mise à jour est normalement installée automatiquement via le système de mise à jour du navigateur (version 19.0.1084.56 ou supérieure). Dans le cas du système d'exploitation Android, les utilisateurs concernés doivent installer rapidement la nouvelle version du lecteur Flash via l'Android Marketplace.

INFORMATIONS COMPLEMENTAIRES :
-> Bulletin de sécurité Adobe n°APSB12-14 (en anglais)
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ : comment déterminer le numéro de version de votre
logiciel?
-> Abonnement gratuit à la lettre Secuser Securite pour être informé par courriel des nouvelles failles