Adobe bouche 75 trous de sécurité dans Flash, Acrobat et Reader

19 failles éliminées dans Flash, 56 dans Acrobat et Reader. Un gros travail de fond sur la sécurité vient d’être assuré par Adobe.

Adobe élimine les failles de ses deux applications phares gratuites : le lecteur de PDF Reader et la plate-forme Flash. L’offre Acrobat a droit elle aussi à des corrections de vulnérabilités.

Commençons par Flash, outil largement utilisé au sein des navigateurs web, mais aussi très présent dans les applications mobiles, via l’environnement d’exécution AIR. 19 failles de sécurité sont ici corrigées, d’un niveau critique. Comprenez par là qu’un pirate pourra les exploiter pour prendre le contrôle d’une machine à distance.

Le risque demeure toutefois peu élevé. Rappelons en effet que les applications AIR ne sont pas toutes connectées au web, et que le greffon Flash dans ses versions Microsoft et Google est protégé par un bac à sable intégré à Edge, Internet Explorer et Chrome. Les pirates peuvent donc pénétrer le PC via Flash, mais s’enliseront par la suite dans le bac à sable.

19 failles corrigées dans Flash…

Sont concernés par ces failles : Flash Player 19.0.0.195 et inférieur (sous Windows et OS X, mais aussi au travers d’Edge, Internet Explorer 11 et Chrome) ; Flash Player Extended Support Release 18.0.0.241 et inférieur ; Flash Player 11.2.202.521 et inférieur sous Linux ; l’offre AIR 19.0.0.190 et inférieur.

Adobe recommande de basculer vers les dernières versions de ces logiciels, à savoir : Flash Player 19.0.0.207 ; Flash Player ESR 18.0.0.252 ; Flash Player pour Linux 11.2.202.535 ; AIR 19.0.0.213. Cette page du site web d’Adobe vous permettra de vérifier quelle mouture de Flash Player est installée sur votre machine. Dans la plupart des cas, la mise à jour sera assurée par le navigateur web ou le greffon lui-même.

Notez que depuis l’entrée en lice de ce train de correctifs, une nouvelle faille critique vient d’être découverte dans Flash Player (bulletin de sécurité CVE-2015-7645). Découverte par Trend Micro, cette vulnérabilité de type zero day (avec ‘exploit’) a été utilisée dans le cadre de cyberattaques menées contre divers ministères des affaires étrangères de par le monde. Cette faille n’est pas corrigée à ce jour.

… 56 dans Acrobat

Ce sont pas moins de 56 failles de sécurité qui sont éliminées des différents lecteurs (et générateurs) de PDF d’Adobe, dont un grand nombre de vulnérabilités zero day. Le risque est ici moins grand, un lecteur PDF étant en relation moins directe avec Internet qu’un navigateur web. La mise à jour immédiate de ces outils reste toutefois vivement recommandée.

Pour être protégé, il conviendra de disposer des versions suivantes de ces logiciels :

  • Acrobat DC et Acrobat Reader DC (Continuous) : 2015.009.20069
  • Acrobat DC et Acrobat Reader DC (Classic) : 2015.006.30094
  • Acrobat XI et Reader XI : 11.0.13
  • Acrobat X et Reader X : 10.1.16

La mise à niveau d’Acrobat ou Reader ne sera pas assurée forcément de façon automatique. Il conviendra donc de vérifier l’existence de mises à jour depuis l’application elle-même.

À lire aussi :
Résultats : Adobe cartonne, mais reste prudent pour Q4 2015
Alerte aux failles critiques pour Adobe Flash Player 18
Firefox fermera la porte aux plug-ins à la fin 2016

Crédit photo : © pixdreams.eu – Shutterstock